Western Digital 的 My Cloud 私有雲被爆存有漏洞達半年,駭客可遠端駭入至今未修復(更新:官方聲明)

由於越來越多家庭使用者開始使用NAS來保存重要的檔案,在家建立起自己的私有雲。除了原本的幾家NAS大廠之外,許多路由器廠商、硬碟廠商也順勢推出了私有雲的產品來搶攻這塊市場。不過,在安全方面似乎可能會讓人有點擔憂。Western Digital的 My Cloud 就被資安專家表示,存有一個後門的漏洞。

(2018/1/10更新:針對此事,Western Digital已發出聲明表示,該漏洞已於已於2017年11月16日所發布的韌體更新予以解決。全文聲明請見這篇報導。)

GulfTech Research and Development的資安專家James Bercegay 在2017年的年中,就發現 My Cloud 有一個後門漏洞,任何人都可以利用"mydlinkBRionyg"這個管理員名稱,以及利用 "abc12345cba" 為密碼,登入 My Cloud 裝置。登入之後,攻擊者就可以透過界面來對該裝置進行攻擊。

就算是不連上網際網路,只將 My Cloud 放在區域網路,一樣可以利用相同的方式來攻擊這個裝置,攻擊者只需要在區域網路中利用另一台電腦,利用在網站上使用的HTML image以及iFrame tags技術,搭配已知的管理員名稱以及密碼,來向區域網路中的 My Cloud 發出訪問的請求,一樣可以存取 My Cloud 的內容。

James Bercegay 在去年年中向Western Digital提供了這個訊息,不過至今相關的漏洞依然沒有被修補。半年之後,這個漏洞公開在公司的網站上。受影響的裝置包括有;My Cloud Gen 2、My Cloud EX2、My Cloud EX2 Ultra、My Cloud PR2100、My Cloud PR4100、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、My Cloud DL4100。

其實在去年三月,Western Digital的私有雲就被爆出過有多達85個漏洞,當時一名自稱Zenofex的安全研究人員公開了Western Digital旗下NAS產品存在高達85個安全漏洞,最嚴重者可讓駭客繞過認證機制,在NAS上執行程式,或存取儲存的資料。

此外,Western Digital在2016年度的「金駭獎」Pwnie Awards上,由於當年度被白帽駭客回報WD MyPassword 存有加密漏洞問題,而Western Digital收到這個漏洞回報的回應是「再觀察一下」就沒有下文,獲得了「最跛腳的廠商反應獎」(Pwnie for Lamest Vendor Response)。顯示他們在產品的安全性方面,警覺性有些遲鈍。

而針對這次的漏洞問題,James Bercegay對一般的用戶提出的建議是:將手中的產品網路線拔除完全斷網,等待廠商提供安全更新。

相關新聞:techspot ithome

 

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則