Ông Simon Whittaker - Giám đốc của Vertical Structure cho biết, một tìm kiếm trên công cụ Shodan được thực hiện vào nửa cuối năm 2018 đã cho thấy, hơn 3 triệu tệp tin trên 5.114 thiết bị lưu trữ Lenovo đã bị rò rỉ thông tin. Trong đó, có khoảng 20.000 tài liệu, 13.000 bảng tính, 13.000 văn bản và 405.000 hình ảnh. Một số tệp còn lưu trữ thông tin nhạy cảm, bao gồm số thẻ thanh toán và hồ sơ tài chính. Whittaker cho rằng, số lượng các hệ thống tồn tại lỗ hổng có thể cao hơn trên thực tế, vì con số trên chỉ là những thiết bị được xác định và nhận dạng.

Bằng cách gửi yêu cầu tự tạo thông qua một API, lỗ hổng cho phép tin tặc khai thác từ xa, không cần xác thực. Từ đó, giành quyền truy cập vào các tệp trên thiết bị lưu trữ mạng. Các thiết bị tồn tại lỗ hổng là các sản phẩm Iomega/LenovoEMC đã được Lenovo ngừng sản xuất từ lâu.

Ông Whittaker cho hay, API này hoàn toàn không được xác thực và cung cấp cho tin tặc khả năng liệt kê, truy cập và truy xuất các tệp từ xa. Nó tương tự như hàng triệu bucket trên Dịch vụ lưu trữ đơn giản (S3) của Amazon bị phát hiện.

Tin tặc có thể đã rà quét mạng để tìm các thiết bị dễ bị tấn công và gửi yêu cầu độc hại đến địa chỉ IP của thiết bị. Tuy nhiên, tin tặc cũng có thể đã tạo ra một kịch bản tự động hóa cuộc tấn công và trích xuất dữ liệu từ tất cả các thiết bị có chứa lỗ hổng.

Sau khi nhận được thông tin từ Vertical Structure và WhiteHat Security, Lenovo đã thu hồi 3 phiên bản phần mềm của các thiết bị bị ảnh hưởng để giải quyết lỗ hổng. Ngay sau đó, Lenovo đã định danh lỗ hổng là CVE-2019-6160 và phát hành tư vấn bảo mật vào ngày 16/7.

Đây không phải là lần đầu Lenovo cảnh báo người dùng về một lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm lưu trữ mạng Iomega và LenovoEMC. Năm 2018, hãng này đã giải quyết 09 lỗ hổng, bao gồm các lỗ hổng có thể kết hợp với nhau để tấn công toàn diện một thiết bị.