Lenovoは最近、重大なセキュリティ脆弱性（CVE-2019-6160）を認識し、それを重大度の高いエクスプロイトとして分類しました。 この脆弱性は、ネットワークに接続されたストレージデバイスに存在していました。

残念ながら、この悪用により、Lenovo-EMCストレージデバイスを使用する何千人ものユーザーのデータが公開されることになりました。 この影響を調査したセキュリティ研究者は、セキュリティ上の欠陥により36TBのデータリークが発生することを明らかにしました。

垂直構造レポートでは、36TBのデータは約13, 000のスプレッドシートファイルに保存されていると述べています。

研究者は、Shodanという名前のインターネット接続デバイスの検索エンジンを使用して、データリークを発見しました。 さらなる調査により、約3, 030, 106個のファイルがインデックスに含まれていることが明らかになりました。

これらのファイルには、金融の詳細やクレジットカード情報など、膨大な機密情報が含まれていました。

レノボはすぐにパッチをリリースしました

このセキュリティエクスプロイトの大きな影響により、Lenovoはアドバイザリを発行しました。 ハードウェアの製造元は、これがデータリークを引き起こす可能性のあるファームウェアセキュリティの欠陥であることを確認しました。

一部のストレージデバイスでは、権限のないユーザーがプライベートファイルにアクセスできます。 攻撃者は、脆弱なデバイスを簡単に見つけて、それらのデバイスに保存されているデータに侵入することができます。

これらのハッキング対策ツールのいずれかをインストールして、ハッカーがデータを手に入れるのを防ぎます。

調査はさらに、影響を受けるLenovoEMC NASまたはIomegaデバイスの数が5, 114を超えるという事実を明らかにしました。

特に、これらの影響を受けるデバイスのほとんどは、使用期限が切れています。 これは、Lenovoがユーザーに公式サポートを提供しなくなったことを意味します。

今すぐ最新のファームウェアアップデートをインストールしてください

WhiteHat Application Security Platformのチームが調査結果を検証し、脆弱性についてLenovoに通知しました。 Lenovoはこの問題に迅速に対応し、影響を受けた古いバージョンを撤回しました。

同社は対応するパッチもリリースしました。 お客様が引き続きLenovoストレージデバイスを使用できるように、迅速な対応が重要でした。

Lenovoは、影響を受けるデバイスの所有者に最新のファームウェアアップデートをダウンロードしてインストールすることを推奨しました。 予防措置として、信頼できないインターネットネットワークでストレージデバイスを使用しないでください。

専門家は、必要な措置を講じたレノボを高く評価しました。 彼らは、他の企業が訴訟に従うべきだと信じています。