Lenovo/Iomega的NAS存在权限控制缺陷,导致海量信息泄露
最近,Lenovo发布了Lenovo/Iomega旗下NAS设备的安全通告。这些设备被安全研究人员发现存在信息泄露漏洞,导致大量敏感数据暴露在公网。
研究人员警告到,LenovoEMC(Lenovo和EMC的合资公司)存储设备和EMC旗下Iomega品牌的NAS设备存在安全漏洞,可能导致存储这些设备上的数据遭到破坏。联想于周二披露了这一信息。
研究人员之所以能发现这个漏洞,是因为他们在shodan上无意中发现了暴露在公网的36TB数据,其中涉及5114个设备,3030106个文件(其中包括20000个文档,13000电子表格,13000文本文件和405000张图片)。这些数据中包括很多敏感的财务信息,例如支付卡号码和交易记录。
研究人员相信存在该缺陷的设备肯定不止5114个,因为这只是他们能搜索到的设备。
在研究人员在周二发布的文章中表示:“2018年秋,在用shodan进行日常的安全扫描时,一名Vertical Structure的工作人员发现了一些没有任何标记的文件,这看起来很看怪异。”
之后,这名工作人员通知了WhiteHat Security,以共同调查此事。而WhiteHat Security随后发现,这起数据泄露事件与之前基于云端或基于NAS设备web接口的数据泄露事件有所不同,是与LenovoEMC应用的接口(API)有关。
研究人员还表示:“这个API完全不存在身份验证,任何人只要发送简单的请求就能够远程列出、访问和检索文件。它就像是数百万个可任意访问的Amazon S3存储桶的集合体。”
该漏洞的根本原因在于NAS的固件存在缺陷,开发人员必须彻底修改API的访问权限。
目前还没有公布具体的修复时间,但研究人员表示,Lenovo在接到报告后已迅速采取行动来解决问题。该漏洞的具体细节也没有公布。Lenovo的安全公告只表示,该漏洞“可能允许未经身份验证的用户通过API访问NAS的文件”。
受影响的型号包括:
LenovoEMC StorCenter刀片服务器(Px12-350R和ix12-300r) 家庭媒体网络硬盘(云版本3.2.16.30221) Iomega的NAS设备——StorCenter ix2-200、ix4-200d、ix4-200rl以及StorCenter(云版本)ix2-200和ix4-200d
在发现了这个漏洞后,Lenovo把存在漏洞的固件版本从官网上撤下,以便进行检查和修复,随后还放出了以前版本的固件,以方便有需求的用户下载。
在今年的7月1日,Swascan的研究人员发现了联想服务器/应用的9个漏洞。而在去年,联想修复了LenovoEMC和Iomega中影响了20个NAS型号的9个漏洞,其中包括8款LenovoEMC NAS (PX)设备,9款Iomega StoreCenter (PX和IX)设备以及Lenovo的ix4-300d、ix2、EZ媒体备份中心。同时在去年ISE实验室也发现了与权限认证有关的漏洞。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场 来源:https://threatpost.com/lenovoemc-storage-leak-financial-data/146494/ https://securityaffairs.co/wordpress/88501/hacking/iomega-lenovo-nas-devices-flaw.html