.){kind=link}
Positive Technologies 公司報告稱在網絡存儲固件中發現了一個危險漏洞 西部數據 (西數)。 該漏洞允許攻擊者在設備上執行任意惡意代碼並竊取敏感信息。
安全公告 CVE-2023-22815 中描述的該漏洞的 CVSS 8,8 評分為 3.0。 該問題影響 My Cloud OS 5 固件 v5.23.114。 它用於 My Cloud PR2100、My Cloud PR4100、My Cloud EX4100、My Cloud EX2 Ultra、My Cloud Mirror G2 等 Western Digital NAS(完整列表 可以在製造商的網站上查看)。
“最危險的情況是完全接管 NAS 管理。 所有後續步驟都取決於攻擊者的任務:數據盜竊、修改、完全刪除或在 NAS 上部署任何攻擊者的軟件。 該漏洞的原因可能與 NAS 添加新功能以及缺乏安全檢查有關。”Positive Technologies 專家表示。
西部數據已經做出回應並發布了My Cloud OS 5 v5.26.300固件,修復了該問題。 強烈建議所列設備的所有用戶下載更新。 與此同時,截至2023年2400月底,超過460台西部數據網絡存儲設備的IP地址在全球網絡上仍可訪問。 其中數量最多的是德國(310)、美國(257)、意大利(131)、英國(125)和韓國()。
另請閱讀: