美國互聯(lián)網(wǎng)應急中心發(fā)布了一則關(guān)于希捷無線硬盤的使用警告，因為在該產(chǎn)品中發(fā)現(xiàn)有多個漏洞能被攻擊者利用來下載磁盤中所有的文件。

[[148296]]

默認“root”登錄

美國互聯(lián)網(wǎng)應急中心指出：

“希捷無線硬盤提供一個未公開的Telnet服務，只要使用默認的用戶名和默認密碼：“root” 就可以登陸。”

而且這還影響到設(shè)備，攻擊者可以利用漏洞通過希捷無線硬盤下載設(shè)備上出現(xiàn)在默認共享目錄中的任何文件。

[[148297]]

希捷無線硬盤漏洞列表：

CVE-2015-2874，使用默認的用戶名和默認密碼：“root”就可以登錄Telnet。

CVE-2015-2875，在默認配置下，希捷無線硬盤驅(qū)動器無線接入設(shè)備為匿名攻擊者提供了一個無限制的文件下載功能。然后攻擊者就可以直接從系統(tǒng)上下載硬盤中的文件。

CVE-2015-2876，在默認配置下，希捷無線硬盤驅(qū)動器提供了一個上傳功能，攻擊者可以無線接入到device’s /media/sda2 filesystem。該filesystem用于共享文件。

以上漏洞出現(xiàn)在固件版本2.2.0.005以及2.3.0.014之中。

所幸的是，為了解決希捷無線硬盤的安全問題，希捷重新發(fā)布了3.4.1.105固件版本。