CVE-2021-45841 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:TerraMaster NAS 会话 Cookie 信任管理失效。<br>🔥 **后果**:攻击者可伪造 Cookie,以**来宾身份**非法登录系统。
Q2根本原因?(CWE/缺陷点)
🛡️ **缺陷点**:会话 Cookie 可被**自签名**。<br>🔍 **原因**:缺乏对 Cookie 签名的严格验证,导致身份伪造。
Q3影响谁?(版本/组件)
📦 **产品**:TerraMaster FS-210 / F4-210 / F2-210。<br>📅 **版本**:TOS 4.2.X (具体如 4.2.15-2107141517)。
Q4黑客能干啥?(权限/数据)
💻 **权限**:获得**来宾 (Guest)** 访问权限。<br>📂 **数据**:虽为来宾,但可进入系统界面,存在进一步横向移动风险。
Q5利用门槛高吗?(认证/配置)
🔑 **门槛**:中等。<br>📝 **前置条件**:需知道目标的 **MAC 地址** 和用户的 **密码哈希**。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:有相关利用报告(PacketStorm/That's Not My Site)。<br>⚠️ **状态**:虽未列具体 PoC,但原理已公开,利用路径清晰。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 TOS 版本是否为 4.2.X。<br>🛡️ **检测**:关注是否有非正常来宾登录行为,或 Cookie 签名异常。
Q8官方修了吗?(补丁/缓解)
🔧 **补丁**:数据未提供官方补丁链接。<br>📢 **建议**:需联系 TerraMaster 官方获取最新固件更新。
Q9没补丁咋办?(临时规避)
🚫 **规避**:限制 NAS 网络访问范围。<br>🔒 **措施**:修改默认密码,禁用不必要的来宾访问,隔离管理接口。
Q10急不急?(优先级建议)
⚡ **优先级**:中高。<br>💡 **见解**:鉴于只需 MAC 和哈希即可利用,且能获取系统访问权,建议尽快排查版本并升级。