“我是管理员” bug 将西部数据的 My Cloud 设备变成每个人的云

安全
pigsrollaroundinthem (39396)发表于 2018年09月20日 20时09分 星期四
来自人人共享人人受益部门
Securify 的安全研究人员披露了西部数据 My Cloud 的一个漏洞,编号为 CVE-2018-17153 的漏洞允许未经授权的攻击者绕过密码检查以管理员权限登录访问联网的 My Cloud 设备,攻击者可以浏览和拷贝上面所有储存的数据,也能覆写和删除数据,它变成了所有人的“云”。攻击者只要向设备的 Web 界面发送包含 cookie username=admin – 的 HTTP CGI 请求就能以管理员权限登录。研究人员在今年 4 月就向西部数据报告了 bug,但五个月后仍然没有回应,于是他们就公开披露了漏洞。西部数据目前也没有做出回应