本周早些时候,北爱尔兰的研究机构和WhiteHat Security发现了这个漏洞并通知了LenovoEMC。总共有超过300万个文件被识别为易受攻击,包括20,055个文档,13,677个电子表格,13,972个文本文件和405,395个照片文件。根据Vertical Structure的主管Simon Whittaker的说法,可能会有更多,因为文件是通过扩展来识别的。
“许多其他可能是csv,备份,会计文件等,”他说。“他们本可以从设备中抓取任何和所有文件。该API完全未经过身份验证,并且能够以琐碎的方式远程列出,访问和检索文件。它类似于发现的数千个开放的[亚马逊] S3存储桶。“
虽然在今天的宽带世界中没有理由缺乏接口的安全性,但它是一个旧的代码库,可能原本不是用于宽带使用的。他说,由于它的年龄,它可能没有经过如此彻底的测试。
至于联想的信誉,该公司在收到漏洞通知后立即为这些设备发布了固件补丁。惠特克说,联想很快就能轻松到达,并从三个代码库退出代码以解决问题。
然而,这并不是第一次在Iomega中发现已知的漏洞。 去年8月,ISE实验室的研究人员发现了一系列可能影响其NAS设备的漏洞。在花了一些时间来更新固件之后,联想在10月份通知其客户,解释说攻击者可以利用设备操作系统中的命令注入漏洞,允许他们通过root shell远程接管设备。
虽然这些漏洞很严重,但它们与上周在QNAP设备上发现的漏洞有所不同。在这种情况下,在QNAP NAS设备上发现了勒索软件。该漏洞称为eCh0raix,使用AES加密对NAS上的目标文件扩展名进行加密,并在加密文件中附加“.encrypt”扩展名。然后它要求比特币赎金。
Whittaker说,不同之处在于,虽然eCh0raix允许执行,但Iomega漏洞不允许黑客直接执行文件。相反,它可以执行文件操作。
然而,他们确实有足够的相似之处,形成一种趋势。
“首先,黑客开始关注存储的趋势明显。Moor Insights&Strategy的高级分析师Steve McDowell表示,过去几周我们已经看过两次,而且我们也看到有关数据被Amazon S3窃取的报道。“其次,这两个最新的漏洞都针对的是中小型/家庭办公空间中通常没有IT人员的相对不熟练的用户。”
供应商和用户共同负责保持存储设备的安全。
McDowell表示,供应商应通过在消费者和小型办公级设备上实现自动修补来提升他们的游戏水平。他们还应该采取更大的措施来更彻底地测试设备。
同时,用户应始终了解补丁的最新信息。
“这些盒子都是建立在为你的服务器和工作站供电的相同开源电源堆上,你并不认为服务器上的安全性是理所当然的,”他说。“对存储设备做同样的事情。设置提醒并确保您运行的是最新固件。“