Lenovo/Iomega的NAS存在权限控制缺陷，导致海量信息泄露

最近，Lenovo发布了Lenovo/Iomega旗下NAS设备的安全通告。这些设备被安全研究人员发现存在信息泄露漏洞，导致大量敏感数据暴露在公网。

研究人员警告到，LenovoEMC（Lenovo和EMC的合资公司）存储设备和EMC旗下Iomega品牌的NAS设备存在安全漏洞，可能导致存储这些设备上的数据遭到破坏。联想于周二披露了这一信息。

研究人员之所以能发现这个漏洞，是因为他们在shodan上无意中发现了暴露在公网的36TB数据，其中涉及5114个设备，3030106个文件（其中包括20000个文档，13000电子表格，13000文本文件和405000张图片）。这些数据中包括很多敏感的财务信息，例如支付卡号码和交易记录。

研究人员相信存在该缺陷的设备肯定不止5114个，因为这只是他们能搜索到的设备。

在研究人员在周二发布的文章中表示：“2018年秋，在用shodan进行日常的安全扫描时，一名Vertical Structure的工作人员发现了一些没有任何标记的文件，这看起来很看怪异。”

之后，这名工作人员通知了WhiteHat Security，以共同调查此事。而WhiteHat Security随后发现，这起数据泄露事件与之前基于云端或基于NAS设备web接口的数据泄露事件有所不同，是与LenovoEMC应用的接口(API)有关。

研究人员还表示：“这个API完全不存在身份验证，任何人只要发送简单的请求就能够远程列出、访问和检索文件。它就像是数百万个可任意访问的Amazon S3存储桶的集合体。”

该漏洞的根本原因在于NAS的固件存在缺陷，开发人员必须彻底修改API的访问权限。

目前还没有公布具体的修复时间，但研究人员表示，Lenovo在接到报告后已迅速采取行动来解决问题。该漏洞的具体细节也没有公布。Lenovo的安全公告只表示，该漏洞“可能允许未经身份验证的用户通过API访问NAS的文件”。

受影响的型号包括：

LenovoEMC StorCenter刀片服务器(Px12-350R和ix12-300r)

家庭媒体网络硬盘(云版本3.2.16.30221)

Iomega的NAS设备——StorCenter ix2-200、ix4-200d、ix4-200rl以及StorCenter(云版本)ix2-200和ix4-200d

在发现了这个漏洞后，Lenovo把存在漏洞的固件版本从官网上撤下，以便进行检查和修复，随后还放出了以前版本的固件，以方便有需求的用户下载。

在今年的7月1日，Swascan的研究人员发现了联想服务器/应用的9个漏洞。而在去年，联想修复了LenovoEMC和Iomega中影响了20个NAS型号的9个漏洞，其中包括8款LenovoEMC NAS (PX)设备，9款Iomega StoreCenter (PX和IX)设备以及Lenovo的ix4-300d、ix2、EZ媒体备份中心。同时在去年ISE实验室也发现了与权限认证有关的漏洞。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://threatpost.com/lenovoemc-storage-leak-financial-data/146494/
     https://securityaffairs.co/wordpress/88501/hacking/iomega-lenovo-nas-devices-flaw.html