人人妻人人澡人人爽人人精品电影,日本孕妇孕交videostv,18成禁人看免费无遮挡床震,人乳喂奶HD无中字

安全公告編號:CNTA-2018-0003

1月5日，國家信息安全漏洞共享平臺（CNVD）收錄了6起Western Digital My Cloud NAS設備高危漏洞，包括：Western Digital My Cloud NAS設備信息泄露漏洞（CNVD-2018-00399）、Western Digital My Cloud NAS設備拒絕服務漏洞（CNVD-2018-00400）、Western Digital My Cloud NAS設備跨站請求偽造漏洞（CNVD-2018-00402）、Western Digital My Cloud NAS設備命令注入漏洞（CNVD-2018-00401）、Western Digital My Cloud NAS設備無限制文件上傳漏洞（CNVD-2018-00403）、Western Digital My Cloud NAS設備硬編碼后門漏洞（CNVD-2018-00404）。綜合利用上述漏洞，遠程攻擊者可發(fā)起拒絕服務器攻擊、遠程執(zhí)行命令、獲取My Cloud設備控制權。目前漏洞的修復方案尚未公布。

一、漏洞情況分析

Western Digital My Cloud NAS是一款應用廣泛的網(wǎng)絡連接云存儲設備，可用于托管文件，并自動備份和同步該文件與各種云和基于Web的服務。此外，該設備不僅可讓用戶共享家庭網(wǎng)絡中的文件，而且私有云功能還允許用戶隨時隨地訪問該文件數(shù)據(jù)。

CNVD-2018-00399：攻擊者可通過向Web服務器發(fā)送一個簡單的請求來轉(zhuǎn)儲所有用戶的列表，包括詳細的用戶信息，而不需要任何身份驗證，如：GET /api/2.1/rest/users? HTTP/1.1

CNVD-2018-00400：該漏洞是由于未經(jīng)身份驗證的用戶可為整個存儲設備及其所有用戶設置全局語言首選項所致，攻擊者可能會惡意利用該功能導致Web界面拒絕服務。

CNVD-2018-00402：該漏洞是由于WD My Cloud網(wǎng)頁界面中無有效地XSRF保護所致，攻擊者可利用任何惡意網(wǎng)站使受害者的網(wǎng)絡瀏覽器連接到網(wǎng)絡上的My Cloud設備，誘使目標用戶進行訪問，獲取My Cloud設備控制權。

CNVD-2018-00401：該注入漏洞可能與跨站點請求偽造XSRF漏洞相結(jié)合，導致攻擊者獲得受影響設備的完全控制權（root訪問權限）。

CNVD-2018-00403：該漏洞是由于開發(fā)人員錯誤地實現(xiàn)了gethostbyaddr()PHP函數(shù)所致，漏洞存在于“multi_uploadify.php”腳本中。攻擊者可使用參數(shù)Filedata[0]將任意惡意文件上傳到互聯(lián)網(wǎng)易受攻擊的存儲設備所在的運行服務器，以root身份獲得遠程shell。

CNVD-2018-00404:該漏洞是由于開發(fā)者將管理員用戶名“mydlinkBRionyg”和密碼“abc12345cba”，硬編碼到二進制文件，且無法更改所致。攻擊者可利用上述憑證登錄到WDMy Cloud設備，注入命令，導致root shell。

CNVD對上述漏洞的綜合評級為“高危”。

二、漏洞影響范圍

受影響的云端固件版本和型號如下：

MyCloud<=2.30.165

MyCloud Mirror <=2.30.165

受影響的設備型號：

MyCloud Gen 2

MyCloud PR2100

MyCloud PR4100

MyCloud EX2 Ultra

MyCloud EX2

MyCloud EX4

MyCloud EX2100

MyCloud EX4100

MyCloud DL2100

MyCloud DL4100

三、處置措施

目前，廠商暫無詳細的解決方案：?https://www.wdc.com/region-selector/splash-region.html

附：參考鏈接：

https://thehackernews.com/2018/01/western-digital-mycloud.html

POC：

https://dl.packetstormsecurity.net/1801-exploits/GTSA_wdmycloud_backdoor.rb.txt