信息來(lái)源：secdoctor

        外媒 1 月 23 日消息，安全專家發(fā)現(xiàn)超過(guò) 3.3 萬(wàn) 個(gè)希捷 GoFlex 家庭網(wǎng)絡(luò)存儲(chǔ) ( NAS ) 設(shè)備容易暴露于公網(wǎng)，或引來(lái)跨站腳本（XSS）和中間人（MitM）攻擊。雖然目前希捷已經(jīng)修補(bǔ)了 Personal Cloud 和 GoFlex 產(chǎn)品中的 XSS 漏洞，但不幸的是，仍有一些問(wèn)題尚未解決。

        安全專家 Sood 介紹，GoFlex 家庭 NAS 設(shè)備在 seagateshare.com 上運(yùn)行了一個(gè)可訪問(wèn)的 Web 服務(wù)，允許用戶遠(yuǎn)程管理設(shè)備及其內(nèi)容，并且可以通過(guò)設(shè)備名稱和登錄憑證來(lái)訪問(wèn)存儲(chǔ)。而 GoFlex 固件則運(yùn)行著一個(gè) HTTP 服務(wù)器，要求用戶在路由器上啟用端口轉(zhuǎn)發(fā)，以便連接到 web 服務(wù)。

跨站腳本（XSS）和中間人（MitM）攻擊

        安全專家 Sood 注意到雖然 HTTP 服務(wù)器支持過(guò)時(shí)的協(xié)議 SSLv2 和 SSLv3，  而 Web 服務(wù) seagateshare.com 支持 SSLv3。 不過(guò)這兩種協(xié)議都能將用戶暴露給 MiTM 攻擊（包括  DROWN  和  POODLE 攻擊）。

        此外，Sood 還在 seagateshare.com 網(wǎng)站上發(fā)現(xiàn)了一個(gè) XSS，攻擊者可以利用該 XSS 在用戶的瀏覽會(huì)話中執(zhí)行惡意代碼，欺騙受害者點(diǎn)擊特制鏈接。

        目前希捷只修復(fù)了 XSS 漏洞，似乎并沒(méi)有計(jì)劃修復(fù)與 SSLv2 和 SSLv3 相關(guān)的一些問(wèn)題。