如果你已经安装了由LG公司制造的NAS(Network Attached Storage)网络存储设备,那么你应该立即关闭它并阅读本文,然后采取适当措施来保护你的敏感数据。
隐私倡导公司VPN Mentor在本周三透露,他们的研究人员在多个LG NAS设备中发现了一个尚未被修补的关键远程命令执行漏洞,可能会危及到存储在其中的用户数据。
值得注意的是,该公司在上个月还发现了存在于HotSpot Shield、PureVPN和Zenmate三款流行VPN应用程序中的安全漏洞,这些漏洞会泄露用户的真实IP地址和其他敏感数据,而受影响的用户可能超过数百万。
LG NAS设备是连接到网络的专用文件存储单元,允许用户使用多台计算机来存储和共享数据。对于授权用户来说,他们还可以通过互联网来远程访问这些数据。当然,需要授权意味着在没有正确的用户名和密码的情况下是无法实现远程访问的。
VPN Mentor的研究人员表示,尽管无法通过随意输入的用户名和密码来登陆LG NAS设备,但他们发现大多数LG NAS设备中都存在一个pre-auth远程命令注入漏洞。漏洞来源于远程管理用户登录页面的“密码”参数的错误验证方式,允许远程攻击者通过密码字段传递任意系统命令。
研究人员解释说,攻击者可以在目标设备上编写一个简单的持久性shell,并将其作为密码输入来利用此漏洞。通过使用这个shell,使得攻击者可以轻松地执行更多的命令。其中一个命令便允许他们转储NAS设备的完整数据库,这里面便包含了受害者的电子邮件、用户名和MD5散列密码。
由于使用MD5加密散列函数保护的密码很容易被破解,因此攻击者可以获得授权访问并窃取存储在目标设备上的敏感数据。
研究人员还提到,如果攻击者不想花费时间来破解窃取到的MD5散列密码,他们还可以通过运行另一个命令,新建一个用户并将其添加到目标设备中,然后使用该凭证进行登录以完成数据窃取。
由于LG公司尚未发布针对此漏洞的修复程序,因此我们建议LG NAS设备用户应确保自己的设备无法通过公共互联网访问,并使用防火墙来对其进行保护。另外,我们还建议用户可以通过检查设备上的所有注册用户名和密码来定期查看任何可疑活动。
网友评论