首页 > 业界 > 关键词 > 漏洞最新资讯 > 正文

西数Cloud OS 3旧NAS平台亦曝出严重安全漏洞

2021-07-03 17:39 · 稿源:cnbeta

在 6 月下旬曝出了 NAS 数据会被恶意攻击者抹除的猛料之后,KrebsOnSecurity 又介绍了在更多 WD 设备中发现的一个新漏洞安全研究人员 Pedro Ribeiro 与 Radek Domanski 指出,问题似乎集中在 Cloud OS 3 平台、而不是新近发布的 Cloud OS 5 上。然而由于后者缺乏某些功能和特性,许多用户都宁可运行无补丁可打的旧版软件。

一方面,WD 表示不会为 Cloud OS 3 设备提供安全更新补丁。另一方面,一些用户也苦恼于无法升级至 Cloud OS 5 。

支持页面显示,Cloud OS 5 并不适用于 MyCloud EX2 / EX4、或某些版本的 My Cloud 和 My Cloud Mirror 。

1.jpg

对于这部分用户,WD 建议是换用支持新版软件的设备。或者参考去年致 Comparitech 的一份声明,直接在控制台中将远程访问功能给禁用掉。

安全研究人员指出,他们可以远程访问到一台 Cloud OS 3 设备,然后给它刷入修改后的新固件。

2.jpg

按照惯例,固件更新功能仅面向经过身份验证的用户开放,但 Flashback Team 还是成功地绕过了这一限制,原因是 NAS 上似乎有一个密码为空的用户账户。

借助相关漏洞,攻击者可在 NAS 上执行任意命令。或者黑客也可以利用固件更新功能,让设备直接变砖。

尴尬的是,尽管研究人员设法编译了一个自定义的安全补丁,但在每次重启后,用户仍需手动将之应用于设备。

  • 相关推荐
  • 大家在看
  • CISA推平台以让黑客向美国联邦机构报告安全漏洞

    据外媒Techcrunch报道,美国网络安全和基础设施安全局(CISA)启动了一项漏洞披露计划,其允许有道德的黑客向联邦机构报告安全漏洞。据悉,该平台在网络安全公司Bugcrowd和Endyna的帮助下推出,它将允许民间联邦机构接收、分类和修复来自更广泛的安全社区的安全漏洞。CISA在推出该平台不到一年前曾指示其监管的民用联邦机构制定并发布自己的漏洞披露政策。这些政策旨在通过概述哪些以及如何在线系统可以测试、哪些不能测试为安全研究

  • 黑客利用三星设备预装应用程序漏洞来监视用户

    安全研究人员在三星预装的安卓应用中发现了多个关键的安全漏洞,如果成功利用这些漏洞,可能会让黑客在未经用户同意的情况下访问个人数据,并控制设备。移动安全初创公司Oversecured的创始人Sergey Toshin在周四发表的分析报告中表示,这些漏洞可能允许攻击者访问和编辑受害者的联系人、电话、短信/彩信,以设备管理员的权限安装任意应用程序,或以系统用户身份读写任意文件,并且可能改变设备的设置。Sergey Toshin在2021年2月向?

  • 西数:黑客利用远程漏洞抹除My Book用户数据 正研究潜在恢复方案

    在遭到一系列远程攻击之后,西部数据(WD)敦促 My Book 用户立即断开互联网连接。在 6 月 24 日发布的官方公告中,WD 表示 My Book Live 和 My Book Live Duo 网络附加存储(NAS)设备可能通过出厂重置被远程擦除,使用户面临失去所有存储数据的风险。在公告中写道:“西部数据已经确定,一些 My Book Live 和 My Book Live Duo 设备正受到一个远程命令执行漏洞的影响。在某些情况下,攻击者已经触发了出厂重置,似乎是要删除设备

  • 谷歌扩展开源漏洞数据库 用“精确描述漏洞”统一模式纳入更多数据

    Google今天宣布扩展开源漏洞(OSV)数据库,使用“精确描述漏洞”的统一模式纳入Python、Rust、Go 和 DWF 等更多开源项目的数据。虽然开源软件存在诸多优势,但漏洞问题也日益突显。绝大多数代码库至少包含一个已知的开源漏洞,而本周的一份报告认为更多的时候,开发人员在将第三方库纳入他们的软件后并没有更新它们。该报告还指出,92% 的开源库缺陷可以通过简单的更新轻松修复。开源软件影响着几乎所有的人,无处不在。从小型创?

  • 美国追回付给黑客的部分比特币赎金:首次通过入侵黑客BTC账户追回

    美国追回付给黑客的部分比特币赎金。据媒体报道,今年5月,美国大型输油管道运营商科洛尼尔管道运输公司(Colonial Pipeline)遭到了网络攻击,并向黑客支付75枚比特币(当时价值440万美元,约合人民币2814万元)赎金。当地时间6月7日,美国司法部表示,已追回这笔赎金。

  • 黑客组织“匿名者”通过加密推文警告埃隆·马斯克

    据国外科技媒体报道:黑客组织“匿名者”发布了一个新的视频警告特斯拉首席执行官埃隆•马斯克(elonmusk)称"从你Twitter上的评论来看,你玩的加密市场游戏似乎毁了你的生活。

  • Windows 10发布累积更新:修复一大波儿漏洞

    Windows 10每次推送更新,都会有这样或者那样的问题,现在微软也是针对不少版本推出了更新了。现在,微软发布了适用于 Windows 10 21H1 功能更新的 KB5003637 累积更新,在安装之后版本号升至 19043.1052。该更新现在也适用于 Windows 10 20H1 和 20H2 功能更新 。在本月补丁星期二活动日中,微软也发布了多个累积更新,包括 version 1909 (KB5003635), version 1809 (KB5003646), version 1607 (KB5003638) 和 version 1507 (KB50

  • 微软称其客户支持工具被SolarWinds黑客入侵

    微软表示,由于一名微软客服人员的电脑被入侵,其部分客户支持工具被黑客组织Nobelium访问,该组织也与SolarWinds攻击有关。该客服人员的访问权限有限能够看到客户使用的服务和他们的账单联系信息等内容。据微软称,黑客利用从工具中收集到的信息,开始对特定的微软客户进行 "高度针对性"的攻击。这些攻击是一个更大的Nobelium入侵行为的一部分,主要集中在世界各地的IT公司和政府。微软表示已经与是受到黑客影响的使用这些工具影?

  • 黑客攻击电子游戏公司EA,窃取游戏源代码

    据国外科技媒体报道:电子游戏制造商Electronic Arts遭到网络攻击,黑客窃取了其源代码和相关的内部工具。名为Kickass的黑客声称窃取了fifa21等游戏的源代码,以及专有的frostice游戏引擎的源代码。他们正试图出售大约780千兆字节的游戏数据。

  • 等着吧!马斯克遭黑客组织威胁 痛斥其为自恋狂

    一直以来,斯拉首席执行官埃隆·马斯克在推特上相当高调,其发表的言论也经常引发争议。现在这位科技大佬遭到国际黑客组织的公开威胁。

  • 谷歌发布了Android 12 Beta 2.1,并修复了漏洞

    目前,我们已经进入android12公测领域,在几个月的纯开发者版本发布之后。今天,谷歌推出了android12beta2.1,正如这个小增量所暗示的那样,它是关于修复android12beta2中的漏洞的。

  • SolarWinds的黑客被怀疑已从微软的客户支持系统窃取了数据

    一个被认为应对SolarWinds漏洞负责的黑客组织通过一个被入侵的客户服务人员的电脑访问了微软的支持工具,这一漏洞使黑客能够对微软的客户进行进一步的黑客攻击。周五的一篇来自微软MSRC的博客文章披露,公司确认其对Nobelium黑客组织的调查在一名客户支持代理使用的电脑上发现了 "信息窃取恶意软件"。由于该电脑可以访问 "少数"客户的 "基本账户信息",微软认为这些数据被用来发动 "高度针对性的攻击"。微软声称已经 "迅速回应"了?

  • 美国追回付给黑客的比特币赎金:方法曝光 麻痹大意造成

    日前,美国成功追回了美国最大成品油管道运营商科洛尼尔管道运输公司(Colonial Pipeline)付给黑客组织的DarkSide”的部分赎金,这让不少人对比特币的安全性产生了怀疑,并引发比特币大跳水。据外媒报道,有专家表示,美国联邦调查局(FBI)之所以能够成功追回Colonial Pipeline支付的部分赎金,并不是由于数字货币的安全性存在漏洞,而是由于黑客组织的马虎造成的。周一,来自美国司法部的一份报告显示,成功追回了Colonial Pipe

  • 被指操控加密市场!马斯克遭黑客组织公开威胁:等着吧

    特斯拉CEO、SpaceX创始人埃隆马斯克(Elon Musk)作为一个行事高调的人,在社交媒体上更是口无遮拦”,也正是如此,其被黑客组织盯上了。据外媒报道,日前,马斯克遭到国际黑客组织匿名者”(ANONYMOUS)的公开威胁,该组织指出了马斯克的数条罪状”,并称马斯克为一个自恋的有钱人。在这条三分四十七秒的视频中,一个带着面具并使用了变声器的黑衣人指出了马斯克数条罪状”,例举了各类与其相关的新闻以及推特上的言论,包括不关?

  • 马斯克遭黑客组织公开威胁:因其“不断挑衅”加密货币

    今年的加密货币市场用水生火热来形容绝不过分,整个货币市场都大涨大跌,令许多人一夜之间倾家荡产,而这其中最大的推手之一就是特斯拉创始人马斯克。上周,马斯克还在社交平台更新动态,发布了比特币心碎的表情,配发图文中还是一段情侣分手的文字,这被解读为马斯克决定和比特币分道扬镳,导致比特币应声大跌。而此次事件也为马斯克本人迎来一些不好的事情。据媒体报道,6月6日,国际黑客组织账号匿名者”(Anonymous)在Twitter

  • 深信服向微软提交并协助修复2个漏洞,避免用户内网沦陷

    近日,深信服蓝军安全研究团队向微软提交并协助修复了 2 个SharePoint中的漏洞,两个漏洞分别命名为CVE-2021- 31966 和CVE-2021-31948,这两个漏洞如被攻击者利用,将可能对用户造成巨大损失。目前,微软已经针上述漏洞发布了安全补丁,并公开致谢深信服安全研究员。由于新冠疫情的爆发,远程办公成为常态,许多政企和组织迫切需要一个管理系统来管理和共享工作内容。Microsoft SharePoint是目前被广泛使用的内容管理系统(CMS)之

  • 卡巴斯基发现朝鲜国家黑客组织最近攻击了韩国多个行业

    针对韩国多种行业的恶意软件活动被认为是一个名为Andariel的朝鲜国家黑客组织所为。据《黑客新闻》报道,这一进展表明,Lazarus黑客攻击者正在紧跟潮流,扩大他们的武器库。卡巴斯基实验室在一份详细的报告中指出:"这次活动中使用Windows命令及其选项的方式与以前的Andariel活动几乎相同"。这次攻击影响了制造业、家庭网络服务、媒体和建筑业。Andariel是Lazarus黑客组织的成员之一,因对韩国的组织和企业发动攻击而臭名昭著。该?

  • 80%支付赎金的企业会遭到二次勒索攻击 其中46%来自同一黑客

    在遭遇勒索软件攻击之后,不少企业因为无法等待数据恢复、想要尽快恢复业务,选择向黑客支付赎金,那么在支付赎金之后是否就意味着不再成为黑客的勒索目标了吗?一份最新报告显示,几乎一半的受害者会再次成为同一黑客的目标。根据市场调查机构 Censuswide 公布的最新数据,大约 80% 选择支付赎金的组织会遭到第二次攻击,其中 46% 被认为是来自同一个团伙。一家在勒索软件事件后支付了数百万美元的公司,在交出加密货币后的两周内

  • 美国追回付给黑客的比特币赎金:结果遭遇行情暴跌 价值砍半

    当地时间5月9日,美国宣布进入国家紧急状态,原因是当地最大燃油管道运营商遭网络攻击下线。据报道称,美国最大的成品油管道运营商Colonial Pipeline在当地时间5月7日因受到勒索软件攻击,被迫关闭其美国东部沿海各州供油的关键燃油网络,而黑客索要了高达数百万美元虚拟币。迫于无奈,在遭到黑客攻击的数小时后,科洛尼尔管道运输公司以无法追踪交易往来的加密货币支付了赎金,黑客收到付款后提供了解密工具帮助恢复其计算机网络?

  • 安全研究人员为ATM NFC读卡器中存在的漏洞敲响警钟

    据《连线》报道,IOActive安全研究员Josep Rodriquez警告说,许多现代ATM和POS系统中使用的NFC读卡器使它们容易受到攻击。这些缺陷使它们容易受到一系列问题的影响,包括被附近的NFC设备对撞攻击、作为勒索软件攻击的一部分而被锁定、甚至被黑客提取某些信用卡数据Rodriquez警告说,这些漏洞可能被用作所谓的"中奖"攻击的一部分,欺骗机器吐出现金。然而,这样的攻击只有在与其他漏洞的利用配对时才有可能,《连线》说,由于IOActi

  • 热门标签

热文

  • 3 天
  • 7天