西部数据多款NAS产品被爆有85个漏洞 目前无修补程序

[财经网科技]据外媒报道，一名自称为Zenofex的安全研究人员在上周六公开了西部数据（Western Digital，以下简称WD）网络附加储存装置NAS（Networked Attached Storage）所含有的85个安全漏洞， 并释出其中48个漏洞的概念性验证攻击程序，而这些信息， WD也是当天才知道。

相关漏洞主要位于WD的MyCloud个人NAS产品线， 总计有12个型号受到波及，涵盖My Cloud、My Cloud Gen 2、My Cloud Mirror、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、 My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100与My Cloud DL410，当中最严重的是认证绕过漏洞， 将允许黑客取得在NAS上执行程序或上传/下载文件的权限。

其实这则消息最令人震惊并非是相关的产品与漏洞， 而是Zenofex在未知会WD的情况下就公开了所有的漏洞细节 与概念性攻击程序。

Zenofex解释，按理说他们会试图与业者合作， 确保漏洞在适当时机被揭露，然而，在经历了Pwnie Awards及黑帽大会之后， 他们知道了WD于安全社群内的声誉，例如WD在Pwnie Awards上赢得了‘最跛脚的供货商回应奖’（Pwnie for Lamest Vendor Response）， 意指WD经常忽视安全社群所提交的臭虫的严重性。

Zenofex说，若他们实行了责任揭露却被忽视， 漏洞将会存在更长的时间，所以这次他们直接向社群揭露， 并建议使用者将受到影响的装置与公共网络隔离， 同时限制装置的存取， 并期待这样的作法能够加速业者修补装置的脚步。