西部数据My Cloud NAS设备存在高危漏洞，攻击者可获得完全控制权

据外媒报道，安全研究人员在西部数据My Cloud系列NAS设备上发现了严重的漏洞，可以被攻击者利用来获取受影响设备的root权限。

近日，西部数据公司网络附加储存装置NAS的用户都受到了安全警告称，远程攻击者可以利用西部数据My Cloud系列NAS设备上的漏洞获得NAS底层操作系统的完全访问权限，进而轻松地获取My Cloud NAS里任何他所感兴趣的信息。

SCVL发布的安全公告表示，

通过结合这份安全公告中记录的漏洞，攻击者可以彻底的摧毁一个WD My Cloud设备。最坏的可能是，他们可以窃取储存在设备上的敏感数据，或是利用该受损设备作为跳板进行横向的内部攻击。安全委员会建议用户不要将WD My Cloud设备联网，直到安全专家完成彻底地安全审计并确认所有的问题已经得到解决。 

据悉，此次受影响的产品主要属于WD的My Cloud NAS产品线， 总计有12个型号受到波及，包括My Cloud、My Cloud Gen 2、My Cloud Mirror、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、 My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100以及My Cloud DL410，其中最严重的是攻击者可以触发漏洞绕过登录认证，插入命令、上传/下载未经授权的文件以及获得完全控制权，详细信息点击查看。

2016年1月18日，SCVL已经将该漏洞信息报告给了西部数据，但是直到2017年3月7日才公开披露该漏洞。此外，另一组来自安全公司Exploitee.rs的专家也在近日向媒体透露，西部数据私有云似乎有着不小的安全漏洞，让多款 My Cloud 桌上型硬盘产品，被暴露在可能会被骇客攻击的危险之中。

安全专家发现的漏洞包括命令注入漏洞、基于堆栈的缓冲区溢出漏洞以及跨站点请求伪造漏洞。正如预期的那样，通过结合跨站点请求伪造漏洞和命令注入漏洞，攻击者可以获得受影响的设备root访问权限。

Exploitee.rs的研究人员表示，早在去年12月，其公司的安全专家Steve Campbell就在西部数据MyCloud NAS设备中发现了两个命令注入漏洞——CVE-2016-10107以及CVE-2016-10108。需要一提的是，西部数据也有对这些漏洞做出固件更新，只可惜关了一个门却又开了另一条路给了这些黑客，并没有真正地解决此问题，还引发了一个新的登录绕过漏洞。

其实，西部数据在安全社区内的名声一直不是太好，早在2015 年 9 月，其已经暴露出过漏洞安全问题，当时来自 VerSprite 的安全研究人员发现西数 My Cloud 个人云存储硬盘设备包含两个安全漏洞，允许使用某个版本 Debian Linux 的攻击者通过一个 Web 访问 UI 和一个 RESTful API 与硬盘发生联系，从而会给不法分子提供两种攻击方式：通过命令注入，或是通过跨站请求伪造（CSRF）攻击漏洞。不过，之后西部数据已经修复了这个漏洞。

而在去年的黑帽大会上，西部数据还赢得了“最迟钝的供货商回应奖”，主要因素不光是其NAS系统的薄弱，对于系统中这些漏洞的对策提供，西数的响应也是很迟钝且无力的——就比如这次的曝光，西数发布了一个补丁来修复绕过登录问题，结果却又引入了一个新的漏洞。

目前，Exploitee.rs安全团队已经在西部数据My Cloud NAS设备中发现了85个安全问题，但是截至发稿前，西部数据尚未提供任何有关软件更新和漏洞修复的信息。

看来，凡是与网络相关的东西都不可能保证绝对的安全，要想绝对安全，对于重要资料，还是不要连接互联网了吧。方便与便捷就如同鱼与熊掌不可兼得。