最近有訊息稱,綠聯 NAS 爆出安全缺陷。
NAS 即 Network Attached Storage,網路附屬儲存。NAS 是一種檔案級儲存架構,可使儲存的資料更易於網路裝置訪問,是三種主要儲存架構之一(另外兩種分別是 DAS儲存 ,直連式儲存 Direct-Attached Storage 和 SAN 儲存,儲存區域網路 Storage Area Network)。
通俗說來,NAS 的作用就好像一個塞了很多硬碟的電腦,裡面有檔案伺服器和管理軟體啥的,專用於儲存、共享檔案。連到自己的網上,你就可以搭建自己的“網盤”了。
有B站UP主發現,綠聯NAS在控制面板上,向用戶提供了
*.ugnas.cloud 和 *.ugnas.com兩個域名的萬用字元證書,最直接的影響是,下載下來的證書,包含使用者的私鑰。這可能會導致使用者隱私資料洩漏。下面是 ugnas.cloud 使用的證書透明度日誌:
萬用字元證書可以保護一個主域及其下一級的多個子域,且在提供安全保護的時候節省管理時間。萬用字元證書可以涵蓋所有的子域名,相較於為每個子域名單獨購買證書,購買一張萬用字元證書可以直接解決。
驗證了萬用字元證書之後,如果後續需要新增同級的子域名,無需重新稽核,也不用額外付費,直接就可以擴充套件,非常方便。
通常來說,只會給使用者簽發子域名證書,而像
*.ugnas.cloud這樣的證書是官方域名的泛域名證書,這有可能導致中間人攻擊。UP主甚至演示了自己劫持地址,相當於遭受了DNS汙染,將綠聯NAS指向了惡意伺服器。最後證明,如果被別有用心的人利用,攻擊是完全有可能實現的,使用者會因此洩漏資料。
因為這是個安全缺陷而非安全漏洞,所以吊銷證書後其實風險點就已經被封堵了,至少這個問題接下來不會再引發更大的安全問題。
目前綠聯官方已經回應,這個問題僅在體驗賬號中可能發生,正式使用者是沒有這個證書的。而且也已經吊銷了體驗賬號的證書,解決了這個問題。
總而言之,好訊息是,這個安全隱患目前僅限於測試版本,未波及到正式版使用者。然而,不容忽視的是,暴露私鑰的問題確鑿存在,直接威脅到測試版使用者的隱私安全。
即便正式版使用者倖免於此次事件,公開傳輸層安全(TLS)證書的私鑰仍是一個極度缺乏安全意識的行為。
·················END·················