西数My Cloud个人云存储硬盘被曝严重安全漏洞

Exploitee.rs的一支安全团队在昨天公开了一组影响My Cloud全线产品的安全漏洞,这其中包括绕过登录、命令注入、未经允许的文件上传等等。

漏洞的绝大部分都和脚本质量不佳相关,而所有经过网页管理界面执行的命令都拥有对NAS底层操作系统的完全访问权限,攻击者可以轻松地获取My Cloud NAS里任何他所感兴趣的信息。

更糟糕的是西部数据在安全社区内的名声不是太好,在去年的黑帽大会上西数还被评了Pwnie这个最容易被攻击者拿下的奖,主要因素不光是其NAS系统的薄弱,对于系统中这些漏洞的对策提供,西数的响应也是很迟钝且无力的——就比如这次的曝光,西数发布了一个补丁来修复绕过登录问题,结果却又引入了一个新的漏洞。