一些无线硬盘的安全漏洞可能使黑客获得敏感信息。
这些问题主要影响希捷和LaCie无线存储产品,特别是希捷无线移动存储,希捷无线移动存储和LaCie FUEL。
已知固件版本2.2.0.005和2.3.0.014受此漏洞影响。不过,根据CERT / CC(计算机紧急响应小组协调中心)的说法,其他固件版本可能会受到影响,联邦资助的组织宣布发现这些缺陷。
要检查您的固件版本,您可以在浏览器中加载Seagate Wireless Plus菜单,并从设置 - >关于菜单中选择适当的选项。
这些漏洞如下(以下文本直接来自CERT声明):
CWE-798:使用硬编码的凭证 - CVE-2015-2874
一些希捷无线存储产品通过使用“root”的默认凭据作为用户名和默认密码,提供可以访问的未公开的Telnet服务。
CWE-425:直接请求(“强制浏览”) - CVE-2015-2875
在默认配置下,一些希捷无线存储产品为无线访问设备的匿名攻击者提供无限制的文件下载功能。攻击者可以直接从文件系统的任何地方下载文件。
CWE-434:危险类型文件的无限制上传 - CVE-2015-2876
在默认配置下,一些希捷无线存储产品向匿名攻击者提供文件上传功能,无线访问设备的/ media / sda2文件系统。这个文件系统被保留用于文件共享。
在这里阅读完整的报告。
这些是严重的安全漏洞,因为它们可能允许攻击者访问无线Seagate或LaCie设备。攻击者可以从硬盘读取,更改或删除文件。
希捷表示:“受影响的用户应尽快更新固件。”修改后的固件可以从希捷网站下载。 CERT还建议将固件更新作为解决方案。
与任何固件升级一样,我们强烈建议在开始更新过程之前备份数据。如果更新因任何原因而中断,则可能会发生数据丢失。用户还应该检查任何网络连接的存储设备上的密码,以确保安全。