TDSCSA00436: CANVIO网络存储产品存在多个漏洞
2021年06月28日
东芝电子元件及存储装置株式会社
综述
在CANVIO(STOR.E)无线产品和NAS产品(“受影响的网络存储产品”)中存在多种漏洞,包括远程管制代码执行。请停止使用它们,或者应用可以减轻这些漏洞影响的解决方案。
受影响的网络存储产品
| 产品分类 | 产品名称 (因地而异) |
型号 | 固件版本 |
|---|---|---|---|
| 无线产品 | CANVIO AeroCast/ CANVIO AeroCast无线HDD |
HDTU110*KWC1 | 1.2.8或更早版本 |
CANVIO无线适配器/ |
HDWW100*KW*1 |
2.0.7或更早版本 | |
| NAS产品 | CANVIO个人云/ CANVIO家庭 |
HDNB1*0*E*1 |
0011.3050或更早版本 |
影响
受影响的网络存储产品中的samba等OSS模块已经了解包括CVE-2017-7494在内的漏洞。
详细信息如下面的“每个OSS模块清单的漏洞信息”所示。
这些漏洞允许远程攻击者泄漏/修改信息,并可能控制受影响的网络存储产品
应对方案
- 您需要了解如果您继续使用使用受影响的网络存储产品,可能会存在影响。
- 下面的应对方案可以减轻受影响的网络存储产品中这些漏洞的影响。
| 连接类型 | 减轻这些漏洞影响的方法 | |
|---|---|---|
| NAS产品 | 无线产品 | |
| 通过家庭宽带网络 | 使用防火墙设备(例如宽带路由器)过滤与漏洞相关的流量。 | 将无线产品设置为AP模式。*1 *2 |
| 通过无线局域网 | 一定要确认您的局部网络中没有无线通信设备。 |
|
| 通过移动宽带网络 (智能手机、平板电脑、 转配有WWAN的PC等)* *3 | 断开与WWAN*3的连接 | |
*1: 请务必下载用户手册并在安装前仔细阅读手册。
*2: 请务必更新修复WPA2漏洞的新固件。
*3: WWAN意思是“无线广域网”的简称。
注:东芝电子元件及存储装置株式会社将终止对受影响的网络存储产品的软件更新。
注:请务必根据连接到受影响网络存储产品的任何设备的制造商所提供的信息进行适当的固件更新。
攻击路线
无线产品
不同的连接方式
- 使用“AP模式”(如下所示)来减轻这些漏洞的影响。
- 请注意在工作站和网桥模式下可能会出现漏洞。
在新窗口打开