由于西部数据公司给My Cloud NAS提供域名解析服务的DNS服务器某个配置问题,导致该公司的My Cloud NAS产品存在被恶意攻击的可能,黑客可以通过某些恶意行为访问到有潜在价值的用户数据,如今,西部数据已经采取相应措施去解决该问题。
安全研究员John W. Garrett发现,西部数据的oriondns2.wd2go.com域名服务器配置不当,导致存在DNS区域传送漏洞。
域名系统(DNS)是用来将主机名映射到ip地址的系统,它可以将一个DNS 命名空间分成不同的区域,不同区域用一个包含该域所有记录的域文件表示,而区域传送则是将域文件从主DNS服务器拷贝到次级服务器的过程。
由于这些域文件所包含的信息对于攻击者说可能是十分有用的,因此专家建议应当禁止公共DNS服务器的域传送功能。如果运行DNS软件的web服务器(即域名服务器)配置不当,攻击者便能够通过区域传送行为,访问到域文件。
Garrett告诉SecurityWeek记者,西部数据的oriondns2.wd2go.com域名服务器允许wd2go.com的域传送,并使得该域名的域文件可访问。研究员发现该域文件记录了590多万条记录,其中包括110多万条属于WD My Cloud用户的不同IP地址及其相关联的主机名。
Garrett透露,就其本身而言,域文件可访问并非是一个主要的安全风险问题,但是,专家指出该域文件所包含的信息对于图谋不轨的人来说十分有用,他们可以利用泄露出来的用户信息去挖掘西部数据My Cloud产品可利用的0day漏洞。
“想想用户可能在云设备上存储了哪些内容,可能是海量的图片、私人琐事、银行信息,等等”,Garrett说道。
西部数据声明,在Garrett告知此问题存在之后,他们几小时之内就已经修复了该配置问题。另外他们也修复了在其他服务器上存在的相同问题。
该公司说,他们已经对所有的服务器进行了一次整体的扫描,以确认不会存在同样的问题,并再三检查了修改域名服务器配置的代码架构与处理过程以确保安全。
“另外,我们实施了系统架构与代码审查,并对该审查报告所查出的其他风险进行影响度评估,通过本次审查,我们准备了一个均衡的响应措施:如果我们检测到任何活动的攻击行为,我们会在对用户造成最小影响的同时消减这些风险”,西数在一篇邮件中发表此声明。
Garrett建议西部数据为每一个暴露的设备发布一个软件补丁用来更换其主机名,但是该厂商回复说这样做会引入其他更严重的安全问题,而且并没有任何证据表明除了Garret外,还有其他人也访问过该域文件。
“我们真诚地感谢John W. Garrett对于西部数据公司负责任的披露行为,他采取的披露方式将我们的用户及其安全放在首位,我们十分珍视并鼓励这类负责任的社区参与行为以及合作式的问题解决方式,因为它利用我们的用户,并可使我们的产品变得更好。我们鼓励所有安全研究员向我们报告西部数据用户服务与支持相关的潜在漏洞与风险”,西部数据在发表的公开致谢中如是说。
许多存在漏洞的服务器仍在野外
西部数据的误配域名服务器只是Garrett发现的许多案例中的一个例子,Garret说,通过对680万个域进行扫描,他发现超过50800存在漏洞的域名以及超过130,000个存在漏洞的域名服务器。
“主要原理是这样的,如果一个域名服务器允许向一个以上的主机进行区域文件传输,那么该域名服务器有很大可能是配置不当的,并且可能泄露它所记录的域文件”,Garret解释道。
Garrett使用他自己写编写的工具获得了很多域文件,这些数据集可以从密歇根大学Censys Team管理的Internet-Wide Scan Data Repository网站上(scans.io)下载到。