一名自稱為Zenofex的安全研究人員在上周六(3/4) 公開了Western Digital(WD)網路附加儲存裝置(Networked Attached Storage,NAS)所含有的85個安全漏洞, 並釋出其中48個漏洞的概念性驗證攻擊程式,而這些資訊, WD也是當天才知道。
相關漏洞主要位於WD的MyCloud個人NAS產品線, 總計有12個型號受到波及,涵蓋My Cloud、My Cloud Gen 2、My Cloud Mirror、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、 My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100與My Cloud DL410,當中最嚴重的是認證繞過漏洞, 將允許駭客取得在NAS上執行程式或上傳/下載檔案的權限。
其實這則消息最令人震驚並非是相關的產品與漏洞, 而是Zenofex在未知會WD的情況下就公開了所有的漏洞細節 與概念性攻擊程式。
Zenofex解釋,按理說他們會試圖與業者合作, 確保漏洞在適當時機被揭露,然而,在經歷了Pwnie Awards及黑帽大會之後, 他們知道了WD於安全社群內的聲譽,例如WD在Pwnie Awards上贏得了「最跛腳的供應商回應獎」(Pwnie for Lamest Vendor Response), 意指WD經常忽視安全社群所提交的臭蟲的嚴重性。
Zenofex說,若他們採行了責任揭露卻被忽視, 漏洞將會存在更長的時間,所以這次他們直接向社群揭露, 並建議使用者將受到影響的裝置與公共網路隔離, 同時限制裝置的存取, 並期待這樣的作法能夠加速業者修補裝置的腳步。
示範影片: