安全研究人员在西部数据公司 (Western Digital) 的 “My Cloud” (WDMyCloud) NAS 设备中发现了多个严重漏洞以及一个硬编码后门，可导致远程攻击者获取不受限制的 root 权限。

西部数据的WDMyCloud是全球最流行的网络存储设备之一，供个人和企业用户托管文件并自动备份、同步到多种云和网络服务中。用户不仅能在家庭网络中共享文件，还能随时随地访问数据。

由于这些设备旨在通过互联网连接，因此这个硬编码的后门可能导致黑客获得访问权限。

GulfTech 研发团队近期公布了一份安全公告，详述了在 WDMyCloud 设备中发现的一个硬编码后门和多个漏洞问题，它们可导致远程攻击者注入自己的命令以及在未获授权的情况下上传并下载敏感文件。

值得注意的是，该团队的研究员 James Bercegay 早在去年6月份就将问题告知西部数据公司，后者证实了漏洞的存在并要求在披露前获得90天的修复时间。今年1月3日（已过去180天），这些漏洞仍未修复，GulfTech 公开披露了漏洞详情。

不受限的文件上传缺陷导致远程利用

这个漏洞能导致远程攻击者将任意文件上传到运行在联网的且易受攻击的存储设备上的服务器中。这个漏洞存在于 “multi_uploadify.php” 脚本中，原因是开发人员错误地执行了 gethostbyaddr() PHP 函数。

该漏洞也可轻易遭利用从而获得一个 shell 。为此，攻击者所需要做的就是发送一个包含通过参数 Filedata[0]上传的文件的 POST请求。Filedata[0]是指文件将被上传的位置， “folder” 参数以及虚假的 “Host” 头信息具体说明了该位置。

研究人员还编写了一个 Metasploit 模块来利用这个漏洞，并指出，“这个 [metaspoit] 模块会利用漏洞将一个 PHP webshell 上传到 ‘/var/www/’ 目录中。上传后，通过请求指向后门的一个 URI 就可执行 webshell，从而触发 payload。”

硬编码后门导致远程利用

研究人员还发现设备中存在一个硬编码的后门用户，名为 “mydlinkBRionyg” 而密码为 “abc12345cba” ，且无法更改。因此任何人皆可通过这些凭证登录到 WD My Cloud 设备中。另外，任何人可通过这个后门进行命令注入并得到 root shell。

研究人员指出，攻击者通过让用户访问一个网站即可接管 WDMyCloud，在这个站点中，嵌入式 iframe 或 img 标签通过 WDMyCloud 可预知的默认主机名称之一如 “wdmycloud” 和 “wdmycloudmirror” 等向易受攻击设备发起请求。

My Cloud 中的其它漏洞

除了以上提到的两个严重漏洞外，研究人员还报告了其他一些重要漏洞：

跨站请求伪造 (CSRF)

由于 WD My Cloud web 接口中并不存在真正的 CSRF 防御措施，只需访问恶意网站就可导致用户对 My Cloud 设备失去控制。

命令注入

去年3月份， Exploitee.rs 团队的一名成员在 WD My Cloud 设备中发现多个命令注入问题，如结合 CSFR 使用就可完全控制受影响设备。

拒绝服务

研究人员还发现任意未认证用户可为整个存储设备及其所有用户设置全球语言偏好，攻击者可利用这个功能向 web 接口发送信息并触发拒绝服务。

信息披露：研究人员指出，攻击者还可泄露含有所有用户信息的清单，只需向 web 服务器发出一个简单的请求如 GET /api/2.1/rest/users? HTTP/1.1 而无需获得任何认证就可获取用户详细信息。

受影响的 My Cloud 固件版本和型号

西部数据的 My Cloud 和 My Cloud Mirror 固件版本 2.30.165 及之前版本均受以上提及的所有漏洞影响。

受影响的设备型号包括 My Cloud Gen 2、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100和My Cloud DL4100。

所有漏洞的 Metasploit 模块均已发布到网上。