美國(guó)互聯(lián)網(wǎng)應(yīng)急中心發(fā)布了一則關(guān)于希捷無線硬盤的使用警告，因?yàn)樵谠摦a(chǎn)品中發(fā)現(xiàn)有多個(gè)漏洞能被攻擊者利用來下載磁盤中所有的文件。

[[148296]]

默認(rèn)“root”登錄

美國(guó)互聯(lián)網(wǎng)應(yīng)急中心指出：

“希捷無線硬盤提供一個(gè)未公開的Telnet服務(wù)，只要使用默認(rèn)的用戶名和默認(rèn)密碼：“root” 就可以登陸。”

而且這還影響到設(shè)備，攻擊者可以利用漏洞通過希捷無線硬盤下載設(shè)備上出現(xiàn)在默認(rèn)共享目錄中的任何文件。

[[148297]]

希捷無線硬盤漏洞列表：

CVE-2015-2874，使用默認(rèn)的用戶名和默認(rèn)密碼：“root”就可以登錄Telnet。

CVE-2015-2875，在默認(rèn)配置下，希捷無線硬盤驅(qū)動(dòng)器無線接入設(shè)備為匿名攻擊者提供了一個(gè)無限制的文件下載功能。然后攻擊者就可以直接從系統(tǒng)上下載硬盤中的文件。

CVE-2015-2876，在默認(rèn)配置下，希捷無線硬盤驅(qū)動(dòng)器提供了一個(gè)上傳功能，攻擊者可以無線接入到device’s /media/sda2 filesystem。該filesystem用于共享文件。

以上漏洞出現(xiàn)在固件版本2.2.0.005以及2.3.0.014之中。

所幸的是，為了解決希捷無線硬盤的安全問題，希捷重新發(fā)布了3.4.1.105固件版本。