联想确认有故障的NAS驱动器暴露出36TB的敏感数据

 
联想已经证实，其传统网络附加存储(NAS)驱动器中的一个漏洞是造成巨大的36TB数据泄漏的原因。
在一系列Lenovo-EMC NAS设备中发现了“非常容易”利用漏洞，该设备允许未经授权的用户通过其应用程序编程接口(API)访问驱动器的内容。
研究人员发现了这个问题，他们注意到“看似不合适的无标记文件模式”，并进一步挖掘发现有问题的NAS驱动器“会通过API通过特制请求泄漏信息，而不是通过他们的网络界面泄漏信息”，Bryan Becker说。 ，WhiteHat Security和Simon Whittaker，一份报告中的垂直结构。
“这个过程非常简单，只需要用户点击特定的端点，”垂直结构总监Simon Whittaker对IT专家说。 “攻击者可以编写一个脚本来查找所有相关的易受攻击的NAS设备，然后根据他们想要的方式，对每个设备进行并行或串行索引和检索。”
惠特克解释说，所有攻击者都需要访问易受攻击的NAS驱动器上的文件才能知道IP地址。
“我们在发现漏洞后没有进一步追求，以确保我们没有侵犯相关人员的隐私，但我建议联想上市的设备型号将显着高于5,114，”他补充说。
大量数据分解为大约13,000个被Google索引的泄露电子表格文件，其中包含300多万个单独的文件。结果发现，“重要金额包含敏感的财务信息，包括卡号和财务记录”。
联想后来在一份标有“高度严重”的安全公告中证实了研究人员的调查结果。该公司已发布该漏洞补丁，但后来表示：“如果不能立即更新固件，可以通过删除任何公共共享并仅在可信网络上使用该设备来实现部分保护”。
一旦联想被研究人员意识到这个问题，该公司就已经退出了三个版本的软件，因此用户可以在修复漏洞时继续安全地运行他们的NAS驱动器。然后，它从版本控制中提取旧软件，以调查任何其他潜在问题，以便发布修复程序和更多更新。
根据Dark Reading的说法，如果您是受影响的NAS驱动器的所有者，其中有5,114个连接到互联网，则立即检查补丁以解决问题并阻止攻击者访问您的敏感数据非常重要。
NAS驱动器在小型企业中尤为常见，因为它们具有成本效益，易用性和小巧的外形，因此可以快速轻松地部署。它们还可以通过多个驱动器的插槽轻松扩展，因此存储可以随业务扩展。
“网络附加存储设备在组织中非常流行，因此像这样的漏洞允许任何人访问这些设备上的数据确实是一个高风险，”KnowBe4的安全意识倡导者Javvad Malik说。 “许多组织都在努力正确设置访问控制列表，随着这些设备的激增，包括使用基于云的存储服务，错误配置访问的影响呈指数级增长。
“用户应该将固件安装为Lenovo咨询的一部分。但除此之外，建议对存储敏感数据的所有计算机和设备进行定期审核，”他补充道。 “这通常要求您首先清楚地了解数据的位置。确保所有数据利益相关者都了解敏感数据需要期间文件，文件夹和数据库权限审核。”
最近几周，联想也成为更多安全失误的主题。 Swascan的研究人员在7月初发布了联想服务器基础设施中9个漏洞的详细信息，其中两个被标记为“严重”。
Swascan的报告称，在披露的漏洞中，有一个“可能允许攻击者直接在操作系统上执行意外的危险命令”。 “这种弱点可能导致攻击者无法直接访问操作系统的环境中存在漏洞，例如在Web应用程序中。”
“这些漏洞如果被利用，可能会影响系统的完整性，可用性和机密性，”它补充说。