希捷家庭存储设备的SaaS web服务受攻击威胁

      外媒 1 月 23 日消息，安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网，或引来跨站脚本（XSS）和中间人（MitM）攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞，但不幸的是，仍有一些问题尚未解决。

      安全专家 Sood 介绍，GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务，允许用户远程管理设备及其内容，并且可以通过设备名称和登录凭证来访问存储。而 GoFlex 固件则运行着一个 HTTP 服务器，要求用户在路由器上启用端口转发，以便连接到 web 服务。

跨站脚本（XSS）和中间人（MitM）攻击

安全专家 Sood 注意到虽然 HTTP 服务器支持过时的协议 SSLv2 和 SSLv3，  而 Web 服务 seagateshare.com 支持 SSLv3。 不过这两种协议都能将用户暴露给 MiTM 攻击（包括  DROWN  和  POODLE 攻击）。

此外，Sood 还在 seagateshare.com 网站上发现了一个 XSS，攻击者可以利用该 XSS 在用户的浏览会话中执行恶意代码，欺骗受害者点击特制链接。

      目前希捷只修复了 XSS 漏洞，似乎并没有计划修复与 SSLv2 和 SSLv3 相关的一些问题。

消息来源：Security Affairs

转自 HackerNews.cc 

标签： ssl 安全 代码 服务器 计划 脚本 漏洞 网络 网站 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。