正文内容 评论(0

希捷NAS设备固件被曝含有严重安全漏洞
2015-03-04 09:56:00  出处:天极网   编辑:快科技     评论(0)点击可以复制本篇文章的标题和链接

近日安全研究人员OJ Reeves披露希捷(Seagate)的网络附加储存(Network-attached storage, NAS)设备固件含有严重的安全漏洞,让攻击者可不需经过认证就能自远程执行程序。主要原因来自于这些NAS的固件中采用了陈旧且含有漏洞的技术。

希捷这款NAS设备名为Business Storage 2-Bay NAS,通常被安装在企业或家中网络,作为储存服务器使用。Reeves说,该产品线若使用2014.00319以前版本的固件,便内含许多可允许远程执行程序的安全漏洞。


希捷NAS设备固件被曝含有严重安全漏洞

希捷的NAS设备内置许多管理应用,以方便用户配置设备功能,包括新增用户、设置存取权限,或是管理文件等,而这些应用则使用了不同的技术,诸如程序语言PHP 5.2.13、网络应用程序框架CodeIgniter 2.1.0及网站服务器Lighttpd 1.4.28等。

不过,Reeves指出,这些技术版本都已过于陈旧,当中的PHP与CodeIgniter版本已知含有安全漏洞,还有一客制化的PHP应用程序亦有许多安全问题。

例如与PHP有关的漏洞代号为CVE-2006-7243,攻击者不需取得认证就能远程变更系统文件或信息,与CodeIgniter有关的漏洞则为CVE-2014-8686及CVE-2014-8687,前者让攻击者有机会取得加密密钥并解码cookie内容,得以执行远程程序攻击,后者则涉及希捷NAS中所有的CodeIgniter实例都使用同样密钥的漏洞。

至于希捷所客制化的网络应用程序在服务器端未能妥善维护对话期间的信息,所有的信息都被存在对话的cookie中并被传递至浏览器,因而可曝露用户名称、用户权限,与所使用的语言等,若能操纵这些串值即可完全绕过登录机制。

Reeves表示,迄今确定受影响的NAS固件包括2014.00319与2013.60311,同时他也认为2014.00319以前的版本非常有可能也含有同样的漏洞,有了这些漏洞之后,攻击者很容易就能取得希捷NAS设备的root权限并执行任意程序,估计目前网络上至少有2500台的公开NAS设备含有漏洞。由于希捷尚未修补含有相关漏洞的NAS固件,因此Reeves建议NAS用户以防火墙来保护设备,同时也不要将NAS设备放在公开网络中。

Reeves是在去年10月发现相关漏洞,在同月即通知希捷,但希捷迟迟未修补,于是Reeves公开漏洞细节并放出概念性验证攻击程序。


【点击进入“天极网企业频道”认证微博】

责任编辑:

  • 支持打赏
  • 支持0

  • 反对

  • 打赏

文章价值打分

当前文章打分0 分,共有0人打分
  • 分享好友:
  • |
本文收录在
#软件

  • 热门文章
  • 换一波

  • 好物推荐
  • 换一波

  • 关注我们

  • 微博

    微博:快科技官方

    快科技官方微博
  • 今日头条

    今日头条:快科技

    带来硬件软件、手机数码最快资讯!
  • 抖音

    抖音:kkjcn

    科技快讯、手机开箱、产品体验、应用推荐...