西部数据发布新版固件解决NAS中的安全漏洞
本月初时有研究人员直接完整的公开西部数据旗下多款NAS设备固件中存在的高危安全漏洞以及漏洞细节等。
任何联网的西部数据NAS服务器都会受到这个漏洞的影响,尤其是在研究人员完整披露漏洞细节后危害更大。
但研究人员为何直接公开漏洞细节呢? 原因在于早在2017年6月就已经向西数通报漏洞但该公司迟迟未修复。
基于安全考虑研究人员直接公开漏洞细节向西部数据施压,而施压的效果则是立竿见影西数迅速进行了修复。
漏洞难度低但危害极大:
西部数据NAS固件的漏洞实际上难度还是很低的,因此即便是研究人员不披露其他黑客也能够发现并利用它。
西部数据在开发固件时直接将某个高权限账号密码硬编码写入,因此任何人知道这组账号后都可以展开攻击。
研究人员在披露后给出的建议是:所有西数NAS设备都应该立即断网,即便只在内网使用依然还是可被攻击。
公开漏洞危害大不公开会更大:
绝大多数情况下研究人员发现漏洞后都会主动提交给厂商并进行保密以便厂商能够及时进行修复降低危害性。
但某些厂商比如西部数据和网件公司等,接到研究人员透露后丝毫没有任何紧迫感迟迟不发布固件修复漏洞。
此前网件公司路由器存在的安全漏洞亦是如此,研究人员通报半年都不修复最后迫使研究人员直接公开漏洞。
最终人家只能用公开漏洞这种方法逼迫厂商赶紧修复,说到底这类公司不靠谱因此还是别买他们的产品为好。