双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于Western Digital My Cloud NAS設(shè)備存在高危漏洞的安全公告

2018-01-06 12:56:44

安全公告編號:CNTA-2018-0003

1月5日,國家信息安全漏洞共享平臺(CNVD)收錄了6起Western Digital My Cloud NAS設(shè)備高危漏洞,包括:Western Digital My Cloud NAS設(shè)備信息泄露漏洞(CNVD-2018-00399)、Western Digital My Cloud NAS設(shè)備拒絕服務(wù)漏洞(CNVD-2018-00400)、Western Digital My Cloud NAS設(shè)備跨站請求偽造漏洞(CNVD-2018-00402)、Western Digital My Cloud NAS設(shè)備命令注入漏洞(CNVD-2018-00401)、Western Digital My Cloud NAS設(shè)備無限制文件上傳漏洞(CNVD-2018-00403)、Western Digital My Cloud NAS設(shè)備硬編碼后門漏洞(CNVD-2018-00404)。綜合利用上述漏洞,遠程攻擊者可發(fā)起拒絕服務(wù)器攻擊、遠程執(zhí)行命令、獲取My Cloud設(shè)備控制權(quán)。目前漏洞的修復方案尚未公布。

一、漏洞情況分析

Western Digital My Cloud NAS是一款應(yīng)用廣泛的網(wǎng)絡(luò)連接云存儲設(shè)備,可用于托管文件,并自動備份和同步該文件與各種云和基于Web的服務(wù)。此外,該設(shè)備不僅可讓用戶共享家庭網(wǎng)絡(luò)中的文件,而且私有云功能還允許用戶隨時隨地訪問該文件數(shù)據(jù)。

CNVD-2018-00399:攻擊者可通過向Web服務(wù)器發(fā)送一個簡單的請求來轉(zhuǎn)儲所有用戶的列表,包括詳細的用戶信息,而不需要任何身份驗證,如:GET /api/2.1/rest/users? HTTP/1.1

CNVD-2018-00400:該漏洞是由于未經(jīng)身份驗證的用戶可為整個存儲設(shè)備及其所有用戶設(shè)置全局語言首選項所致,攻擊者可能會惡意利用該功能導致Web界面拒絕服務(wù)。

CNVD-2018-00402:該漏洞是由于WD My Cloud網(wǎng)頁界面中無有效地XSRF保護所致,攻擊者可利用任何惡意網(wǎng)站使受害者的網(wǎng)絡(luò)瀏覽器連接到網(wǎng)絡(luò)上的My Cloud設(shè)備,誘使目標用戶進行訪問,獲取My Cloud設(shè)備控制權(quán)。

CNVD-2018-00401:該注入漏洞可能與跨站點請求偽造XSRF漏洞相結(jié)合,導致攻擊者獲得受影響設(shè)備的完全控制權(quán)(root訪問權(quán)限)。

CNVD-2018-00403:該漏洞是由于開發(fā)人員錯誤地實現(xiàn)了gethostbyaddr()PHP函數(shù)所致,漏洞存在于“multi_uploadify.php”腳本中。攻擊者可使用參數(shù)Filedata[0]將任意惡意文件上傳到互聯(lián)網(wǎng)易受攻擊的存儲設(shè)備所在的運行服務(wù)器,以root身份獲得遠程shell。

CNVD-2018-00404:該漏洞是由于開發(fā)者將管理員用戶名“mydlinkBRionyg”和密碼“abc12345cba”,硬編碼到二進制文件,且無法更改所致。攻擊者可利用上述憑證登錄到WDMy Cloud設(shè)備,注入命令,導致root shell。

CNVD對上述漏洞的綜合評級為“高危”。

二、漏洞影響范圍

受影響的云端固件版本和型號如下:

MyCloud<=2.30.165

MyCloud Mirror <=2.30.165

受影響的設(shè)備型號:

MyCloud Gen 2

MyCloud PR2100

MyCloud PR4100

MyCloud EX2 Ultra

MyCloud EX2

MyCloud EX4

MyCloud EX2100

MyCloud EX4100

MyCloud DL2100

MyCloud DL4100

三、處置措施

目前,廠商暫無詳細的解決方案:?https://www.wdc.com/region-selector/splash-region.html

附:參考鏈接:

https://thehackernews.com/2018/01/western-digital-mycloud.html

POC:

https://dl.packetstormsecurity.net/1801-exploits/GTSA_wdmycloud_backdoor.rb.txt