西部数据My Cloud EX2被曝安全漏洞 会泄露用户数据

近日，Trustwave的安全专家发现，默认情况下，西部数据的My Cloud EX2存储设备诶会在本地网络泄露文件。如果用户配置设备进行远程访问并使其联机，则情况会变得更糟糕。在这种情况下，My Cloud EX2存储设备也会通过端口9000上的HTTP请求泄露文件。

“不幸的是，最新的My Cloud EX2驱动的错误配置允许任何非授权本地网络用户利用HTTP请求从设备中获取文件，” Trustwave公司表示。

“即使是公共共享被禁用，也可以访问存储上的文件。具体说来，任何人都可以在端口9000上向TMSContentDirectory / Control发送HTTP请求，行驶各种操作。浏览操作返回XML，并将URL指向设备上的单个文件。”

根据专家表示，该问题与设备开机时自动启动的嵌入式UPnP媒体服务器相关联。

“默认情况下，未经身份验证的用户可以安全绕过设备所有者或管理员设置的任何权限，从设备中抓取任何文件，”Trustwave说。

Trustwave公司首次公布它们的发现是在1月26日。

该公司向西部数据报告了漏洞问题，最初低估了它们，并且只建议用户禁用DLNA。

Trustwave为这些漏洞发布了一个Proof-of-Concept代码，攻击场景看到攻击者向端口9000发出HTTP请求，要求提供“TMSContentDirectory / Control”资源，UPnP服务器会在存储上的文件列表请求响应。然后，攻击者使用后续的HTTP请求，使用收集的响应的URL从存储中获取文件。

“无论你是否可以在My Cloud EX2上设置权限和凭证，确保你孩子的照片呗锁定，并且只有通过设备实际身份验证的人才可以使用。通过了解流量如何与My Cloud(EX2)设备配合使用，无论权限如何，你都可以实际获取设备中的任何文件。”Trustwave继续说道。

今年2月，Trustwave的研究人员透露了西部数据My Cloud中的另外两个漏洞，可能会被本地攻击者利用，获得对NAS设备的根访问权限。