希捷 GoFlex 家庭存储设备的 SaaS web 服务受 XSS 和 MitM(中间人)攻击威胁
外媒 1 月 23 日消息,安全专家发现超过 3.3 万 个希捷 GoFlex 家庭 *** 存储 ( NAS ) 设备容易暴露于公网,或引来跨站脚本(XSS)和中间人(MitM)攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞,但不幸的是,仍有一些问题尚未解决。
安全专家 Sood 介绍,GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务,允许用户远程管理设备及其内容,并且可以通过设备名称和登录凭证来访问存储。而 GoFlex 固件则运行着一个 HTTP 服务器,要求用户在路由器上启用端口转发,以便连接到 web 服务。
跨站脚本(XSS)和中间人(MitM)攻击
安全专家 Sood 注意到虽然 HTTP 服务器支持过时的协议 SSLv2 和 SSLv3, 而 Web 服务 seagateshare.com 支持 SSLv3。 不过这两种协议都能将用户暴露给 MiTM 攻击(包括 DROWN 和 POODLE 攻击)。
此外,Sood 还在 seagateshare.com 网站上发现了一个 XSS,攻击者可以利用该 XSS 在用户的浏览会话中执行恶意代码,欺骗受害者点击特制链接。
目前希捷只修复了 XSS 漏洞,似乎并没有计划修复与 SSLv2 和 SSLv3 相关的一些问题。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
“希捷 GoFlex 家庭存储设备的 SaaS web 服务受 XSS 和 MitM(中间人)攻击威胁” 的相关文章
关键 SonicOS 漏洞影响 SonicWall 防火墙设备
Hackernews 编译,转载请注明出处: SonicWall 发布了安全更新,其中包含一个跨多个防火墙设备的关键漏洞,未经身份验证的远程攻击者可以将其武器化,以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录,...
盗版有风险:谨防 BitRAT 恶意软件伪装成 Windows 10 激活工具传播
近段时间,一轮新的 BitRAT 恶意软件活动正在加速传播。手段是利用非官方的微软许可证激活器,来激活盗版 Windows 操作系统。Bleeping Computer 指出,BitRAT 是一款功能强大的远程访问木马。在网络犯罪论坛和暗网市场上,它正以 20 美元的买断价,向网络犯罪分子们兜售。...
全球 76% 的公司在过去一年中曾遭遇因技术问题导致的业务中断
Atlas VPN的新研究显示,全球76%的公司在过去一年中遭遇过服务停机。原因包括系统崩溃、人为错误和网络攻击是造成停机的主要原因。此外,许多IT经理对越来越多的政治驱动的网络攻击感到担忧。 系统崩溃被认为是公司停机的首要原因,52%的人不得不处理这个问题。42.3%的IT经理认为人为错误是导致公...
Pegasus 被发现用来感染加泰罗尼亚地区官员的 iPhone 手机
NSO集团用于入侵iPhone的间谍软件Pegasus陷入了另一桩间谍丑闻,该监视工具被用来对付西班牙加泰罗尼亚地区的民间社会和政治人物的设备。继2020年2020年的一份报告称加泰罗尼亚高级政治家Roger Torrent和支持独立的人通过WhatsApp成为“政府级间谍软件”的目标后,Citiz...
微软宣布 Windows 11 将原生整合网络钓鱼保护
在 4 月 5 日的活动中,微软宣布了适用于 Windows 11 系统的新安全功能,从而在操作系统层面提供网络钓鱼保护。通过 Microsoft Defender SmartScreen,微软提供网络钓鱼的检测和保护,保护 Windows 11 设备免受恶意程序侵害。 在更新日志中,微软表示:...
伦敦警方指控两名少年多项网络罪名 涉嫌参与 Lapsus$
针对黑客组织 Lapsus$ 的专项打击活动仍在继续,就在一周前逮捕 7 名青少年之后,英国警方指控 2 名青少年犯有多项网络罪行。目前这 2 人仍处于拘留中,并将于本周五晚些时候在海布里角地方法院出庭。 在周五的一份声明中,伦敦市警察局探长迈克尔·奥沙利文表示这两名年龄分别为 16 岁和 17...
评论列表
发表评论
