当心了！西部数据My Cloud存储设备被曝出漏洞

  【雷竞技须安全稳定 网络频道】据国外多家安全媒体报道，网络设备漏洞研究团队exploitee.rs公布，西部数据My Cloud网络存储设备存在一个认证绕过漏洞(CVE-2018-17153)，未授权的远程或本地网络攻击者可利用该漏洞，无需密码就能成为admin管理员身份，获取对My Cloud设备的完全控制权。

  据官网介绍，My Cloud可以从一个位置访问所有资料，接入自己的家用网络，即可自动备份。只要有互联网连接，你就可以随时随地共享你需要的任何内容。

  该款产品可以自动备份所有计算机上的资料，并且适用于移动设备的照片和视频备份功能。其容量从3TB到8TB，可支持Windows/Mac操作系统，配备千兆位以太网。

  然而，认证漏洞的出现，让未授权用户能创建与其IP地址相关联的管理员会话，然后进一步利用，实现管理员特权命令执行，获取对My Cloud存储设备的控制。 

  当My Cloud设备管理员授权认证登录后，会产生一个与其IP地址关联的相应的服务端( server-side)会话，然后该会话会在HTTP请求中以发送username=admin的cookie形式去调用验证性CGI模块，接着，被调用的验证性CGI模块需要对当前与用户IP关联的会话有效性进行检查校验。

  exploitee研究人员分析，该漏洞目前可以成功在固件版本为2.30.172，型号为WDBCTL0020HWT的 My Cloud 存储设备上复现，主要影响固件版本为2.30.xxx的设备，由于 My Cloud 的多个系列设备开发代码都大同小异，因此，其它型号的设备也非常可能存在该漏洞。

  可能存在漏洞的型号和对应固件版本设备为：

  My Cloud FW 2.30.196

  My Cloud Mirror Gen2 FW 2.30.196

  My Cloud EX2 Ultra FW 2.30.196

  My Cloud EX2100 FW 2.30.196

  My Cloud EX4100 FW 2.30.196

  My Cloud DL2100 FW 2.30.196

  My Cloud DL4100 FW 2.30.196

  My Cloud PR2100 FW 2.30.196

  My Cloud PR4100 FW 2.30.196

  不过，该漏洞并未是首次被发现。早在2017年4月9日，安全团队exploitee.rs在Def Con上的设备漏洞集锦《All Your Things Are Belong To Us!》中披露过该漏洞，但当exploitee向西部数据反馈后，西部数据却拒绝承认和修复该漏洞。

  目前，目前有1,870个曝露互联网的西部数据My Cloud设备，其中大多数处于欧洲，而且这个数据还在不断增加。