ISAC Cambodia (InfoSec)
GeneralSecurity News

ក្រុមហ៊ុន Lenovo បញ្ជាក់អំពីចំនុចខ្សោយនៃការជ្រាបចេញទិន្នន័យទំហំ 36TB

ក្រុមហ៊ុន Lenovo បានបញ្ជាក់ថាភាពងាយរងគ្រោះផ្នែក “សុវត្ថិភាពធ្ងន់ធ្ងរ” បានបណ្តាលឱ្យឧបករណ៍ផ្ទុកទិន្នន័យដែលភ្ជាប់ជាមួយបណ្តាញ (network attached storage) បែកធ្លាយទិន្នន័យទៅខាងក្រៅ។ តើទិន្នន័យប៉ុន្មាន? គឺមានប្រមាណជា 36TB ដែលនោះគឺជាចំនួនដែលក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញចំនុចខ្សោយនៅក្នុងផលិតផលផ្ទុកទិន្នន័យរបស់ Lenovo-EMC។

យោងតាមរបាយការណ៍របស់ក្រុមហ៊ុន Vertical Structure បានឱ្យដឹងថា អ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញ “ឯកសារជា spreadsheet ប្រហែល 13,000 ដែលមានទិន្ន័យទំហំ 36TB ។” ក្នុងឯកសារទាំងនេះ របាយការណ៍បានបង្ហាញថា “ព័ត៌មានអំពីស្ថានភាពហិរញ្ញវត្ថុ” ត្រូវបានរកឃើញផងដែរ។

បច្ចុប្បន្នក្រុមហ៊ុន Lenovo បានចេញនូវ security advisory មួយដែលបញ្ជាក់ថា មានចំនុចខ្សោយនៅក្នុង “firmware” ដែលអាចអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមិនមានការអនុញ្ញាត (unauthenticated) ចូលប្រើឯកសារនៅលើ NAS តាមរយៈ API ។” យោងតាមក្រុមអ្នកស្រាវជ្រាវបានឱ្យដឹងថា វាងាយស្រួលក្នុងការវាយលុក​ (explot) ទៅលើ API នោះណាស់ ហើយអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើទិន្នន័យដែលផ្ទុកលើឧបករណ៍ Lenovo-EMC network attached storage (NAS)។ បញ្ជីឧបករណ៍ទាំងអស់ដែលទទួលរងផលប៉ះពាល់ដោយភាពងាយរងគ្រោះនេះអាចរកបាននៅក្នុងទីប្រឹក្សាសុវត្ថិភាពរបស់ Lenovo ។

ខាងក្រោមនេះគឺជាឈ្មោះបញ្ជីឧបករណ៍ដែលរងផលប៉:ពាល់ដោយសារបញ្ហានេះ៖

px12-350r and ix12-300r, version 4.0.24.34808
http://download.lenovo.com/lenovoemc/eu/en/app/answers/detail/a_id/23142.html

HMNHD (Home Media Network Hard Drive) Cloud Editiond, version 3.2.16.30221
http://download.lenovo.com/lenovoemc/na/en/app/answers/detail/a_id/26791.html

StorCenter ix2-200, Cloud Edition, version 3.2.16.30221
http://download.lenovo.com/lenovoemc/na/en/app/answers/detail/a_id/26789.html

StorCenter ix4-200d, Cloud Edition, version 3.2.16.30221
http://download.lenovo.com/lenovoemc/na/en/app/answers/detail/a_id/26784.html

StorCenter ix2-200, version 2.1.50.30227
http://download.lenovo.com/lenovoemc/na/en/app/answers/detail/a_id/22318.html

StorCenter ix4-200d, version 2.1.50.30227
http://download.lenovo.com/lenovoemc/na/en/app/answers/detail/a_id/22315.html

StorCenter ix4-200rl, version 2.1.50.30227 http://download.lenovo.com/lenovoemc/na/en/app/answers/detail/a_id/29782.html

ប្រសិនបើអ្នកមានឧបករណ៍ណាមួយដែលពាក់ព័ន្ធដូចខាងលើ អ្នកត្រូវតែធ្វើការអាប់ដេតជាបន្ទាន់។ ប្រសិនបើវាមិនអាចធ្វើអាប់ដេតបានភ្លាមៗនោះទេ ការការពារផ្នែកខ្លះអាចសម្រេចបានដោយការដកចេញនូវការចែករំលែកជាសាធារណៈ​ (public share) និងការប្រើឧបករណ៍ តែនៅលើបណ្តាញដែលជឿទុកចិត្ត (trusted networks)។”

ប្រភព៖ Forbes.com [បើកថ្ងៃទី១៨ ខែកក្កដា ឆ្នាំ២០១៩]

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button