最近有消息称,绿联 NAS 爆出安全缺陷。
NAS 即 Network Attached Storage,网络附属存储。NAS 是一种文件级存储架构,可使存储的数据更易于网络设备访问,是三种主要存储架构之一(另外两种分别是 DAS存储 ,直连式存储 Direct-Attached Storage 和 SAN 存储,存储区域网络 Storage Area Network)。
通俗说来,NAS 的作用就好像一个塞了很多硬盘的电脑,里面有文件服务器和管理软件啥的,专用于储存、共享文件。连到自己的网上,你就可以搭建自己的“网盘”了。
有B站UP主发现,绿联NAS在控制面板上,向用户提供了*.ugnas.cloud 和 *.ugnas.com两个域名的通配符证书,最直接的影响是,下载下来的证书,包含用户的私钥。这可能会导致用户隐私数据泄漏。
下面是 ugnas.cloud 使用的证书透明度日志:
通配符证书可以保护一个主域及其下一级的多个子域,且在提供安全保护的时候节省管理时间。通配符证书可以涵盖所有的子域名,相较于为每个子域名单独购买证书,购买一张通配符证书可以直接解决。
验证了通配符证书之后,如果后续需要新增同级的子域名,无需重新审核,也不用额外付费,直接就可以扩展,非常方便。
通常来说,只会给用户签发子域名证书,而像*.ugnas.cloud这样的证书是官方域名的泛域名证书,这有可能导致中间人攻击。
UP主甚至演示了自己劫持地址,相当于遭受了DNS污染,将绿联NAS指向了恶意服务器。最后证明,如果被别有用心的人利用,攻击是完全有可能实现的,用户会因此泄漏数据。
因为这是个安全缺陷而非安全漏洞,所以吊销证书后其实风险点就已经被封堵了,至少这个问题接下来不会再引发更大的安全问题。
目前绿联官方已经回应,这个问题仅在体验账号中可能发生,正式用户是没有这个证书的。而且也已经吊销了体验账号的证书,解决了这个问题。
总而言之,好消息是,这个安全隐患目前仅限于测试版本,未波及到正式版用户。然而,不容忽视的是,暴露私钥的问题确凿存在,直接威胁到测试版用户的隐私安全。
即便正式版用户幸免于此次事件,公开传输层安全(TLS)证书的私钥仍是一个极度缺乏安全意识的行为。
