时隔2年西数网络硬盘再爆安全漏洞,是不拿用户当回事,还是为何?
首先让我们来回顾一下这位千疮百孔的“ 兄弟” ,是如何在私有云界里翻滚的。早在15 年 9 月VerSprite 的安全研究人员就曾发现西数MyCloudNAS的安全漏洞,其允许使用某个版本DebianLinux的攻击者,通过一个Web访问UI和一个RESTfulAPI与硬盘发生联系,从而给不法分子有了可乘之机:通过命令注入或是通过跨 站请求伪造(CSRF)攻击漏洞。不过之后,西部数据总算是修复了此漏洞。
然而,好景不长,近日Exploitee.rs又向媒体透露,西数MyCloudNAS似乎有着更大的安全隐患
,Exploitee.rs在西数MyCloudPR4100网络硬盘上做了反复的测试, 发现了诸多的漏洞,当中不仅存在着各种脚本问题,而且还可以轻易绕过登录验证直接修改里面的文件,这就意味着其他采用同样系统的西数MyCloudNAS也存在同样的问题,实际上在Exploitee.rs研究西数MyCloudNAS产品的过程中,西数就曾经推送过一个固件更新,尝试对“可以绕过登录验证”这个问题进行修正,然而事实证明,他们做的只是在堵住其中一条路的同时,却又开放了另一条路,安全性上并没有什么变化。为了让臭名昭著的西数改掉不重视用户安全的坏毛病,Exploitee.rs在YouTube上也发布了漏洞视频,借此希望西部数据更正视这些问题。
透过现场看本质,西数为何屡屡伤害用户的心,即使被用户骂的狗血喷头,依然临危不动,其实不难发现,西数作为全世界数一数二的硬盘制造商,卖NAS的收益显然远远不上卖硬盘,NAS领域对于西数而言,就是一块小的不能再小的蛋糕,总之依照西数今天的财力,不是做不好,而是不愿投入精力罢了。
理念不同,所以产品也就不同,西数MyCloud系列的NAS在售价上,虽然比QNAP 的 NAS 便宜一些,但是在系统开发本身上的投入完全是不同的,一个好比没有安全气囊的代步车,另外一个就好比既安全又多功能的智能座驾。所以我建议用户在购买NAS的时候,尽量还是选择靠谱一点的 NAS 生产商,硬件要过关,软件也要不断更新维护,类似于QNAP厂家就做的不错,值得大家信赖。
首先让我们来回顾一下这位千疮百孔的“ 兄弟” ,是如何在私有云界里翻滚的。早在15 年 9 月VerSprite 的安全研究人员就曾发现西数MyCloudNAS的安全漏洞,其允许使用某个版本DebianLinux的攻击者,通过一个Web访问UI和一个RESTfulAPI与硬盘发生联系,从而给不法分子有了可乘之机:通过命令注入或是通过跨 站请求伪造(CSRF)攻击漏洞。不过之后,西部数据总算是修复了此漏洞。
然而,好景不长,近日Exploitee.rs又向媒体透露,西数MyCloudNAS似乎有着更大的安全隐患
,Exploitee.rs在西数MyCloudPR4100网络硬盘上做了反复的测试, 发现了诸多的漏洞,当中不仅存在着各种脚本问题,而且还可以轻易绕过登录验证直接修改里面的文件,这就意味着其他采用同样系统的西数MyCloudNAS也存在同样的问题,实际上在Exploitee.rs研究西数MyCloudNAS产品的过程中,西数就曾经推送过一个固件更新,尝试对“可以绕过登录验证”这个问题进行修正,然而事实证明,他们做的只是在堵住其中一条路的同时,却又开放了另一条路,安全性上并没有什么变化。为了让臭名昭著的西数改掉不重视用户安全的坏毛病,Exploitee.rs在YouTube上也发布了漏洞视频,借此希望西部数据更正视这些问题。透过现场看本质,西数为何屡屡伤害用户的心,即使被用户骂的狗血喷头,依然临危不动,其实不难发现,西数作为全世界数一数二的硬盘制造商,卖NAS的收益显然远远不上卖硬盘,NAS领域对于西数而言,就是一块小的不能再小的蛋糕,总之依照西数今天的财力,不是做不好,而是不愿投入精力罢了。
理念不同,所以产品也就不同,西数MyCloud系列的NAS在售价上,虽然比QNAP 的 NAS 便宜一些,但是在系统开发本身上的投入完全是不同的,一个好比没有安全气囊的代步车,另外一个就好比既安全又多功能的智能座驾。所以我建议用户在购买NAS的时候,尽量还是选择靠谱一点的 NAS 生产商,硬件要过关,软件也要不断更新维护,类似于QNAP厂家就做的不错,值得大家信赖。
