.){kind=link}
Positive Technologies 公司报告称在网络存储固件中发现了一个危险漏洞 西部数据 (西数)。 该漏洞允许攻击者在设备上执行任意恶意代码并窃取敏感信息。
安全公告 CVE-2023-22815 中描述的该漏洞的 CVSS 8,8 评分为 3.0。 该问题影响 My Cloud OS 5 固件 v5.23.114。 它用于 My Cloud PR2100、My Cloud PR4100、My Cloud EX4100、My Cloud EX2 Ultra、My Cloud Mirror G2 等 Western Digital NAS(完整列表 可以在制造商的网站上查看)。
“最危险的情况是完全接管 NAS 管理。 所有后续步骤都取决于攻击者的任务:数据盗窃、修改、完全删除或在 NAS 上部署任何攻击者的软件。 该漏洞的原因可能与 NAS 添加新功能以及缺乏安全检查有关。”Positive Technologies 专家表示。
西部数据已经做出回应并发布了My Cloud OS 5 v5.26.300固件,修复了该问题。 强烈建议所列设备的所有用户下载更新。 与此同时,截至2023年2400月底,超过460台西部数据网络存储设备的IP地址在全球网络上仍可访问。 其中数量最多的是德国(310)、美国(257)、意大利(131)、英国(125)和韩国()。
另请阅读: