涉及程序:
Iomega NAS A300U?
描述:
Iomega NAS A300U 以明文形式传输用户ID和口令
详细:
Iomega NAS A300U 是一款企业级的网络区域存储解决方案。
Iomega NAS A300U 支持使用CIFS/SMP挂接驱动盘,但是默认情况下,却是使用明文LANMAN验证。攻击者可使用嗅探工具进行中间人攻击,劫获用户ID,口令等敏感信息。
另外,Iomega NAS A300U 在进行管理登录的时候,用户端发送的管理认证信息也都采用明文方式发送,同处本地网络段的用户可以通过嗅探通信数据获得管理员ID和口令。
目前虽然只在Unix平台下测试过,但估计其他平台也可能存在此缺陷。
攻击方法:
使用嗅探工具进行中间人攻击,劫获得用户ID,口令等敏感信息。
解决方案:
目前厂商还没有提供补丁或者升级程序,建议用户随时关注厂商的站点:
临时解决方案:
* 把NAS和管理工作平台放置在NAT防火墙后的网络中。
附加信息:
【转自】
阅读(413) | 评论(0) | 转发(0) |