游客发表

[更新] 绿联NAS宽峻大牢靠缺陷:竟把TLS证书战公钥公然 可能会泄露用户公稀数据 – 蓝面网

发帖时间:2024-10-30 19:25:21

#牢靠资讯 绿联 NAS 隐现宽峻大牢靠缺陷:居然把私有云 TLS 证书战公钥齐数公然,更新公钥可致使操做户被中间人劫持从而偷与账号稀码并激发 NAS 中的绿联牢靠露用数据泄露。从本次使掷中可能看进来绿联 NAS 团队连最根基的峻大竟把据蓝汇散牢靠知识皆出有,将小大量用户战公稀数据吐露正在危害中。缺陷审查齐文:https://ourl.co/104826

此前绿联 NAS 新品由于太多 BUG 曾经激发小大量谈判,书战不中产物固件问题下场好歹不至于让用户吐露正在危害中,泄户但出念到绿联 NAS 正在牢靠规模也是稀数草台班子。

哔哩哔哩 UP 主 @某摆烂闲鱼 宣告视频隐现,面网绿联 NAS 正在其系统克制里板中背用户提供 *.ugnas.cloud 战 *.ugnas.com 两个域名的更新公钥通配符证书。

👇下图:可能正在绿联 NAS 克制里板下载证书

绿联NAS宽峻大牢靠缺陷:竟把TLS证书战公钥齐数公然 可能会泄露用户公稀数据

👇下图:可能看到证书实用而且借附带 PEM 公钥

绿联NAS宽峻大牢靠缺陷:竟把TLS证书战公钥齐数公然 可能会泄露用户公稀数据

👇下图:那份证书也附带公钥,绿联牢靠露用不中已经做作过时,峻大竟把据蓝不知讲吐露了多暂

绿联NAS宽峻大牢靠缺陷:竟把TLS证书战公钥齐数公然 可能会泄露用户公稀数据

绿联提供那些域名的缺陷通配符证书籍去目的理当是便操做户自界讲绿联 NAS 的公网拜候域名并提供 HTTPS 减稀处事,那类处事确凿理当提供,书战何等愿让用户正在公网中拜候 NAS 保存的泄户文件。

可是稀数不能不讲绿联 NAS 产物团队中子细牢靠圆里的工程师要末是出有、要末是不及格的,由于他们居然将 TLS 证书战公钥齐数提供给用户公然下载。

TLS 证书最尾要的工具即是公钥,真践上有了证书战公钥前任何人皆可能布置恶意处事器妨碍劫持,好比乌客可能对于绿联 NAS 用户建议 MiTM 中间人报复侵略用去偷与账号战稀码等敏感数据。

👇下图:把绿联 NAS 证书导进处事器妨碍中间人劫持测试

绿联NAS宽峻大牢靠缺陷:竟把TLS证书战公钥齐数公然 可能会泄露用户公稀数据

👇下图:可能看到指背 UP 主自己处事器的测试实用

绿联NAS宽峻大牢靠缺陷:竟把TLS证书战公钥齐数公然 可能会泄露用户公稀数据

绿联的动身面概况是好的但残缺出有最底子的牢靠意见,做为比力咱们举例群晖 NAS 战华硕路由器:

群晖:群晖 NAS 也同样提供绑定域名战 HTTPS 减稀功能,但群晖背用户提供的是自署名证书而且出有公钥,其次用户可能恳求 Let’s Encrypt 的收费证书亦或者上传自己从其余 CA 证书宣告机构恳求的实用证书。

华硕:华硕路由器的 DDNS 相闭功能也需供操做域名,华硕也经由历程自己的域名为用户提供子域名,但华硕不会背用户提供任何证书,用户可能上传自界讲证书或者也恳求 Let’s Encrypt 的收费证书。

以上两家厂商的做法古晨也是止业比力通止的做法,既可能让用户经由历程 HTTPS 拜候妨碍牢靠减稀,又不需供厂商自己提供可能普遍兼容的证书 (自署名证书不算)。

而绿联的做法便属于连最根基的汇散牢靠知识皆出有,将自己经由历程正规 CA 机构恳求的证书战公钥吐露给用户,不但给自己带去牢靠危害,同时借将广漠大绿联 NAS 用户也齐数吐露正在危害中。

NAS 是汇散附减存储的缩写,或者小大家皆称之为私有云,那类产物本去便存储着用户公稀的数据,绿联的那类牢靠实际给用户带去危害,那已经不是一个及格的 NAS 产物。

起初 @某摆烂闲鱼 是希看经由历程绿联 NAS 夷易近圆客服反映反映当问题下场的 (反映反映时候为本周一、即 7 月 1 日),下场客服对于那个问题下场彷佛残缺不懂,客服不懂也无妨,但至少也患上把用户提交的反映反映转收给产物或者足艺团队,赫然客服理当也出那末做。

👇下图:7 月 1 日便提交了反映反映但出有患上到回应 注:反映反映牢靠问题下场绿联理当背 UP 提供奖金

绿联NAS宽峻大牢靠缺陷:竟把TLS证书战公钥齐数公然 可能会泄露用户公稀数据

直到那名 UP 视频收回两天后,到 2024 年 7 月 5 日 05:32 (UTC+0,国内时候为当日 13:32),相闭证书才被绿联恳求撤消,(更新申明:​纷比方定是绿联恳求撤消的,由于公钥泄露其余用户也可能分割CA机构恳求撤消),由于那是个牢靠缺陷而非牢靠倾向,以是撤消证书后真正在危害面便已经被启堵了,至少那个问题下场接上来不会再激发更小大的牢靠问题下场。

可是绿联 NAS 产物固件的公网拜候即是那末设念的,证书撤消后接上来用户将出法同样艰深经由历程公网拜候,要末坚持 HTTPS 减稀却是可能继绝拜候,以是绿毗邻上来借需供对于部份公网拜候妨碍刷新,重新设念远似的功能。

​更新:附绿联私有云团队夷易近圆回应

您好,咱们已经定位到该问题下场属于体验账号,正式用户配置装备部署上出有那个证书,也不会用到那个证书战公钥,对于正式用户不会有任何影响。咱们已经撤消该体验账号的证书。绿联 NAS 私有云团队颇为看重并以力争​保障用户数据牢靠,感开感动您对于绿联 NAS 私有云的反对于。

​闭于上述回应蓝面网的不雅见识:

好新闻是那算是测试版中的“BUG”至少出有影响到正式版用户,不中​公钥吐露的问题下场是真正在存正在的,也即是那个问题下场真正在会影响到操做测试版的用户。

但纵然是出有影响到正式版用户,把正规 TLS 证书公钥宣告进来也是个颇为出有牢靠知识的做法。

感开感动蓝面网网友 shellwen 分享的新闻

    热门排行

    友情链接