联想(Lenovo)于上个月修补了20款网络附加存储(Network Attached Storage,NAS)设备的9个安全漏洞,而披露相关漏洞的Independent Security Evaluators(ISE)安全分析师Rick Ramgattie则在本周公布漏洞细节。
这9个安全漏洞的编号分别是CVE-2018-9074、CVE-2018-9075、CVE-2018-9076 、CVE-2018-9077、CVE-2018-9078、CVE-2018-9079、CVE-2018-9080、CVE-2018-9081与CVE-2018-9082,它们存在于Iomega及LenovoEMC品牌NAS产品的网络接口上,多属权限扩张漏洞。
根据联想的说法,经过身份验证的用户可串联其中的某些漏洞来扩张权限,黑客也可引诱NAS用户点击连接,以执行恶意的JavaScript并窃取其凭证。
Ramgattie描述了可能的攻击场景,指出黑客可先创建一个恶意网站并引诱NAS用户访问,借由其网页接口的跨站脚本(Cross Site Scripting,XSS)漏洞汲取浏览器所存放的信息,取得NAS设备的IP地址及访问凭证;之后再发动跨站伪造请求(Cross-site Request Forgery, CSRF)攻击,以扩张权限并执行任何命令。
有9款Iomega品牌、8款LenovoEMC品牌,以及3款Lenovo品牌的NAS设备受到波及。联想已于上个月更新了相关设备的固件,建议采用4.1.402.34662或之前版本的NAS设备用户尽速更新,若未能及时更新也应关闭这些设备的公开分享功能,只于信任的网络中使用这些设备,同时避免点击可疑网址。