西部數據閃迪SecureAccess 漏洞允許暴力破解和字典攻擊

西部數據發布了其 SanDisk SecureAccess 軟件的更新，以修復多個漏洞，這些漏洞可被利用來通過暴力破解和字典攻擊來訪問用戶數據。

SanDisk SecureAccess 軟件，現在更名為 SanDisk PrivateAccess，允許在 SanDisk USB 閃存驅動器上存儲和保護關鍵和敏感文件。

對用戶私人保管庫的訪問受個人密碼保護，所有文件均自動加密。

據供應商稱，SanDisk SecureAccess 3.02 版使用的是帶有可預測鹽的單向加密散列，這意味著該軟件容易受到字典攻擊。該軟件還使用計算量不足的密碼哈希，因此，攻擊者可以暴力破解用戶密碼，從而導致對用戶數據的未授權訪問。

“SanDisk SecureAccess 3.02 使用單向加密散列和可預測的鹽分，使其容易受到惡意用戶的字典攻擊。該軟件還使用了計算量不足的密碼哈希，這將允許攻擊者暴力破解用戶密碼，從而導致對用戶數據的未授權訪問。” 讀取咨詢由SanDisk發布。

“上述兩個密鑰派生函數問題都已在 SanDisk PrivateAccess 版本 6.3.5 中得到解決。SanDisk SecureAccess 已更名為 SanDisk PrivateAccess。”

這些漏洞被追蹤為 CVE-2021-36750，由研究員 Sylvain Pelissier 發現。西部數據通過發布 SanDisk PrivateAccess 版本 6.3.5 解決了這個問題。

“密鑰派生函數問題已經通過使用 PBKDF2-SHA256 和隨機生成的鹽來解決，”該建議繼續說道。