Western Digital敦促客户修补NAS驱动器后门

在安全研究人员发现许多安全问题(包括允许任何人访问设备的硬编码后门)之后，Western Digital已敦促客户更新其NAS设备上的固件。GulfTech 研究员 James Bercegay发现了该漏洞，该漏洞允许攻击者使用无法更改或修改的预设用户名和密码登录受影响的NAS设备。

受影响的模型包括：MyCloud，MyCloudMirror，My Cloud Gen 2，My Cloud PR2100，My Cloud PR4100，My Cloud EX2 Ultra，My Cloud EX2，My Cloud EX4，My Cloud EX2100，My Cloud EX4100，My Cloud DL2100和My Cloud DL4100 。

Bercegay还发现了其他一些漏洞，包括命令注入，跨站点请求伪造和不受限制的文件上传漏洞。有趣的是，他注意到后门和文件上传在D-Link DNS-320L ShareCenter(一种竞争对手的NAS设备)中发现完美匹配的缺陷，使Western Digital可以从D-Link获得(有缺陷的)代码以便构建它的NAS设备。

Western Digital告诉 IT专业人员，Bercegay已经通知了它的缺陷，并且该问题已在v2.30.172固件更新中得到解决。发言人敦促客户更新到最新版本的固件，以免受到影响。

“提醒一下，我们敦促客户确保其产品上的固件始终是最新的;建议启用自动更新。我们还建议您实施声音数据保护措施，例如定期数据备份和密码保护，以确保您的安全。当你使用个人云或网络附加存储设备时路由器，“他们说。

“西部数据不断致力于提高我们产品的能力和安全性，包括与安全研究界一起解决他们可能发现的问题。我们鼓励客户和研究人员负责任地披露，以确保我们的客户在应对有效漏洞时受到保护。”