美國互聯網應急中心發布了一則關于希捷無線硬盤的使用警告，因為在該產品中發現有多個漏洞能被攻擊者利用來下載磁盤中所有的文件。

[[148296]]

默認“root”登錄

美國互聯網應急中心指出：

“希捷無線硬盤提供一個未公開的Telnet服務，只要使用默認的用戶名和默認密碼：“root” 就可以登陸。”

而且這還影響到設備，攻擊者可以利用漏洞通過希捷無線硬盤下載設備上出現在默認共享目錄中的任何文件。

[[148297]]

希捷無線硬盤漏洞列表：

CVE-2015-2874，使用默認的用戶名和默認密碼：“root”就可以登錄Telnet。

CVE-2015-2875，在默認配置下，希捷無線硬盤驅動器無線接入設備為匿名攻擊者提供了一個無限制的文件下載功能。然后攻擊者就可以直接從系統上下載硬盤中的文件。

CVE-2015-2876，在默認配置下，希捷無線硬盤驅動器提供了一個上傳功能，攻擊者可以無線接入到device’s /media/sda2 filesystem。該filesystem用于共享文件。

以上漏洞出現在固件版本2.2.0.005以及2.3.0.014之中。

所幸的是，為了解決希捷無線硬盤的安全問題，希捷重新發布了3.4.1.105固件版本。