TDSCSA00436:Canvio网络存储产品存在多个漏洞

2021年06月28日

东芝电子元件及存储装置株式会社

综述

在Canvio(STOR.E)无线产品和NAS产品(“受影响的网络存储产品”)中存在多种漏洞,包括远程管制代码执行。请停止使用它们,或者应用可以减轻这些漏洞影响的解决方案。

受影响的网络存储产品

产品分类 产品名称(因地而异) 型号 固件版本
无线产品 Canvio AeroCast/
Canvio AeroCast无线HDD
HDTU110*KWC1 1.2.8或更早版本
Canvio无线适配器/
STOR.E无线适配器/
Canvio Cast无线适配器
HDWW100*KW*1
尚未运至中国
2.0.7或更早版本
NAS产品 Canvio个人云/
Canvio家庭
HDNB1*0*E*1
尚未运至中国
0011.3050或更早版本

注:(*)是一个文字数字式字符。

影响

受影响的网络存储产品中的samba等OSS模块已经了解包括CVE-2017-7494在内的漏洞。
详细信息如下面的“每个OSS模块清单的漏洞信息”所示。
这些漏洞允许远程攻击者泄漏/修改信息,并可能控制受影响的网络存储产品。

<每个OSS模块清单的漏洞信息>

应对方案

・您需要了解如果您继续使用使用受影响的网络存储产品,可能会存在影响。
・下面的应对方案可以减轻受影响的网络存储产品中这些漏洞的影响。
连接类型 减轻这些漏洞影响的方法
NAS产品 无线产品
通过家庭宽带网络 使用防火墙设备(例如宽带路由器)过滤与漏洞相关的流量。 将无线产品设置为AP模式。*1 *2
通过无线局域网 一定要确认您的局部网络中没有无线通信设备。

1.更新修复无线产品WPA2漏洞的全新固件。
2.将预设密码更改为单一密码。

通过移动宽带网络
(智能手机、平板电脑、
转配有WWAN的PC等)*3
断开与WWAN *3的连接

*1:请务必下载用户手册并在安装前仔细阅读手册。
*2:请务必更新修复WPA2漏洞的新固件
*3:WWAN意思是“无线广域网”的简称。
*注意:东芝电子元件及存储装置株式会社将终止对受影响的网络存储产品的软件更新。

<攻击路线>
攻击路线


<无线产品>不同的连接方式
·使用“AP模式”(如下所示)来减轻这些漏洞的影响。
·请注意在工作站和网桥模式下可能会出现漏洞。
漏洞

产品名称 手册
Canvio AeroCast/
Canvio AeroCast无线HDD
Canvio AeroCast无线HDD

下载
Canvio无线适配器/
STOR.E无线适配器/
Canvio Cast无线适配器
尚未运至中国


参考

常见的漏洞评分系统SIG在新窗口打开
Canvio网络存储产品的软件更新终止

联系方式

请访问以下网站并选择适用于您所在区域的客户存储解决方案网站。
https://toshiba-semicon-storage.com/cn/canvio/index.html

发布记录

日期
2018年07月20日
2021年06月28日(最新更新)