在安全研究人員發(fā)現(xiàn)許多安全問題(包括允許任何人訪問設(shè)備的硬編碼后門)之后，Western Digital已敦促客戶更新其NAS設(shè)備上的固件。GulfTech 研究員 James Bercegay發(fā)現(xiàn)了該漏洞，該漏洞允許攻擊者使用無法更改或修改的預(yù)設(shè)用戶名和密碼登錄受影響的NAS設(shè)備。

受影響的模型包括：MyCloud，MyCloudMirror，My Cloud Gen 2，My Cloud PR2100，My Cloud PR4100，My Cloud EX2 Ultra，My Cloud EX2，My Cloud EX4，My Cloud EX2100，My Cloud EX4100，My Cloud DL2100和My Cloud DL4100 。

Bercegay還發(fā)現(xiàn)了其他一些漏洞，包括命令注入，跨站點(diǎn)請求偽造和不受限制的文件上傳漏洞。有趣的是，他注意到后門和文件上傳在D-Link DNS-320L ShareCenter(一種競爭對手的NAS設(shè)備)中發(fā)現(xiàn)完美匹配的缺陷，使Western Digital可以從D-Link獲得(有缺陷的)代碼以便構(gòu)建它的NAS設(shè)備。

Western Digital告訴 IT專業(yè)人員，Bercegay已經(jīng)通知了它的缺陷，并且該問題已在v2.30.172固件更新中得到解決。發(fā)言人敦促客戶更新到最新版本的固件，以免受到影響。

“提醒一下，我們敦促客戶確保其產(chǎn)品上的固件始終是最新的;建議啟用自動(dòng)更新。我們還建議您實(shí)施聲音數(shù)據(jù)保護(hù)措施，例如定期數(shù)據(jù)備份和密碼保護(hù)，以確保您的安全。當(dāng)你使用個(gè)人云或網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備時(shí)路由器，“他們說。

“西部數(shù)據(jù)不斷致力于提高我們產(chǎn)品的能力和安全性，包括與安全研究界一起解決他們可能發(fā)現(xiàn)的問題。我們鼓勵(lì)客戶和研究人員負(fù)責(zé)任地披露，以確保我們的客戶在應(yīng)對有效漏洞時(shí)受到保護(hù)。”