希捷宣布检测和修复有关它的一些无线硬盘固件问题。

三个包含固件版本2.2.0.005和2.3.0.014硬盘,从2014年10月,在风险:希捷无线+移动存储、希捷无线移动存储和莱斯燃料。

碰巧与品牌和希捷一样强大,有多个名称为每个产品在市场上,这实际上意味着脆弱性圈可能会更大。其他供应商与希捷的合同,允许他们出售硬件下不同的名称。这意味着只有希捷可以提供一个全面的列表的所有命名的产品都会受到影响。

这里是危险的:

恶意使用硬编码的凭证

描述:脆弱的硬盘的固件Telnet服务可以使用工厂达成的凭证的“根”,用户名和默认密码。

会发生什么:设备可以离散控制的行凶者,与对文件的保密级别和安全系统的硬盘连接到。

代码:cve - 2015 - 2874和cwe - 798。

直接请求(“强迫浏览”)

描述:受灾硬盘固件给免费文件下载能力

会发生什么:所有设备上的文件都可以访问的犯罪者。要实现这一目标,黑客必须范围内受影响的设备的无线信号。

代码:cve - 2015 - 2875和cwe - 425。

Unregu迟来的上传的文件与危险的类型

描述:影响硬盘固件的可能性提供了文件上传设备的文件系统/媒体/ sda2,通常仅用于文件共享。

会发生什么:攻击者还必须对象范围内的无线网络,可以上传任意文件。如果这些文件包含恶意软件,他们可能在他们访问端点造成破坏。

代码:cve - 2015 - 2876和cwe - 434。

希捷做固件更新可用,修复漏洞。

用户拥有这些设备,包括旧机型,鼓励下载和安装的终极希捷提供的固件更新。避免更新可以公开硬盘的用户和他们的客户或家庭网络犯罪的风险更高。

荣誉去艾伦·哈珀·j·瑞秋和迈克Baucom从有形安全发现了无线存储硬件的基本责任由希捷制造。切实的安全也敬礼希捷的努力改善他们的产品,让客户更安全。