西部数据 My Cloud 私有云被曝存在远程访问后门

近年来，消费者们对网络附加存储（NAS）的兴趣日渐浓厚，硬盘厂商们也顺势推出了诸多私有云产品，但却没能在安全性上下足功夫。近日，外媒曝光了西部数据 My Cloud 设备存在一个严重后门漏洞的消息。别有用心的人们，可以借此获得联网设备的无限制根访问。尽管 James Bercegay 早在 2017 年中就向厂商披露了该漏洞，但是半年过去了，西数还是没有进行修复。

据其披露的概念验证的完整细节，最麻烦的事情在于，My Cloud 存有一个无法更改的硬编码后门凭证。

任何人都可以通过 ‘mydlinkBRionyg’ 这个拥有管理员权限的用户名、以及 ‘abc12345cba’ 这组密码来登录西部数据的 My Cloud 服务。登录之后，攻击者有大量的机会去诸如命令，从而取得毫无防备的 shell 访问权限。

有鉴于此，即便切断了外网连接，西数 NAS 设备用户在内网中同样危险：

只需在网站上精心设计一幅 HTML 图像和 iFrame 标记，然后使用可预测的主机名称向本地网络的设备发出请求。除了引诱访问恶意网页之外，全程不需要用户的任何交互。

据悉，受影响的型号极其广泛，包括：

My Cloud Gen 2、My Cloud EX2、My Cloud EX2 Ultra、My Cloud PR2100、My Cloud PR4100、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、以及 My Cloud DL4100 。

爆料人已经公开了一个 Metasploit 模块，因此所有人都可以轻松向 WD NAS 设备发起攻击。最后，我们只能向所有受影响的用户提出彻底断网的建议，直到厂家推送安全补丁。

稿源：cnBeta，封面源自网络；编辑：青楚。

source: hackernews.cc.thanks for it.