聯(lián)想NAS設(shè)備存在嚴(yán)重的固件級(jí)漏洞，如何獲得安全的數(shù)據(jù)環(huán)境

國(guó)外網(wǎng)站公布了聯(lián)想NAS設(shè)備面臨網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，存在嚴(yán)重的固件級(jí)漏洞，如果被利用，此漏洞可能會(huì)危及這些用戶信息的安全性。

該漏洞僅存在于某些型號(hào)的NAS設(shè)備中，并且允許未經(jīng)身份驗(yàn)證的用戶訪問(wèn)和讀取存儲(chǔ)在這些驅(qū)動(dòng)器上的數(shù)據(jù)。此外，通過(guò)應(yīng)用程序編程接口對(duì)這些設(shè)備進(jìn)行利用。

安全專家發(fā)現(xiàn)至少有5100個(gè)易受攻擊的設(shè)備和300多萬(wàn)個(gè)在線暴露的文件，然而，由于聯(lián)想制造的NAS設(shè)備的廣泛使用，暴露的用戶數(shù)量可能要大得多。

據(jù)估計(jì)，暴露的信息可能達(dá)到40TB，其中許多暴露的設(shè)備已經(jīng)被常用的搜索引擎（如Google）編入索引。據(jù)報(bào)道，一些公開(kāi)的文件夾包含敏感信息，如支付卡詳細(xì)信息和其他財(cái)務(wù)數(shù)據(jù)。

另一方面，聯(lián)想公司向這些設(shè)備的用戶通報(bào)了該故障，稱其為“允許對(duì)NAS共享上的文件進(jìn)行身份驗(yàn)證訪問(wèn)的嚴(yán)重漏洞”。聯(lián)想要求易受攻擊設(shè)備的用戶盡快安裝固件更新。

據(jù)安全專家稱，如果用戶此時(shí)無(wú)法將固件更新到最新版本，可能的解決方法是刪除任何公共共享，并僅在受信任的網(wǎng)絡(luò)中使用該設(shè)備。

阿明觀察分析：針對(duì)低端家庭、中小企業(yè)用戶的NAS設(shè)備，在數(shù)據(jù)安全上出現(xiàn)的問(wèn)題不止聯(lián)想一個(gè)，之前個(gè)人家庭型的低端NAS廠商幾乎都出現(xiàn)過(guò)類似數(shù)據(jù)安全問(wèn)題。

對(duì)于目前正在使用NAS用戶來(lái)說(shuō)，最好的辦法就是對(duì)自己連接NAS的網(wǎng)絡(luò)實(shí)行一定的隔離，同時(shí)保持NAS固件的自動(dòng)更新，如果不能自動(dòng)更新，每隔一段時(shí)間需要手動(dòng)下載更新。

世界上沒(méi)有絕對(duì)安全的NAS設(shè)備，數(shù)據(jù)安全防不勝防，唯有養(yǎng)成一個(gè)好的習(xí)慣，才能獲得更為安全的數(shù)據(jù)環(huán)境。