外媒 1 月 23 日消息,安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网,或引来跨站脚本(XSS)和中间人(MitM)攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞,但不幸的是,仍有一些问题尚未解决。
安全专家 Sood 介绍,GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务,允许用户远程管理设备及其内容,并且可以通过设备名称和登录凭证来访问存储。而 GoFlex 固件则运行着一个 HTTP 服务器,要求用户在路由器上启用端口转发,以便连接到 web 服务。
跨站脚本(XSS)和中间人(MitM)攻击
安全专家 Sood 注意到虽然 HTTP 服务器支持过时的协议 SSLv2 和 SSLv3, 而 Web 服务 seagateshare.com 支持 SSLv3。 不过这两种协议都能将用户暴露给 MiTM 攻击(包括 DROWN 和 POODLE 攻击)。
此外,Sood 还在 seagateshare.com 网站上发现了一个 XSS,攻击者可以利用该 XSS 在用户的浏览会话中执行恶意代码,欺骗受害者点击特制链接。
目前希捷只修复了 XSS 漏洞,似乎并没有计划修复与 SSLv2 和 SSLv3 相关的一些问题。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于网络;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册