西部数据 My Cloud EX2 NAS 设备被指泄露文件

翻译：360代码卫士团队

Trustwave 公司的研究员指出，西部数据的 My Cloud EX2 存储设备默认将文件泄露给本地网络上的任何人，而不管用户是否设置了相关权限。如果设备配置为经由公开互联网进行远程访问，那么 My Cloud EX2 还会通过端口9000上的 HTTP 请求泄露文件。

本周三，Trustwave 公司的研究员发布了研究成果并警告称，“很遗憾，My Cloud EX2 新驱动的默认配置可导致任何未经认证的本地网络用户通过 HTTP 请求从驱动抓取任意文件。”

研究人员表示文件遭泄漏的原因是设备的 UPnP 媒体服务器在设备接通电源后自动开启的。在默认情况下，未经验证的用户能够完全绕过设备所有人或管理员设置的任意权限或限制，从而提取任何文件。

研究人员表示，当向西部数据公司披露研究成果时，后者表示不安全的默认设置无需修复方案，而只是建议用户“如果不使用该产品功能时”，关闭 DLNA。

Trustwave 公司 SpiderLabs 的威胁情报经理 Karl Sigler 指出，实际上攻击者无需经验证，也无需提前获得凭证。如果 My Cloud 位于封闭网络或者碰巧位于开放网络（而且易受攻击的端口9000是开放的），那么不管攻击者位于何处，都能访问设备上的每个文件。

西部数据公司表示，DLNA 功能结合用户手机和电视上的媒体播放器使用。

西部数据公司的一名发言人表示，“My Cloud 系统部署在 Twonky Server 上，后者允许在无需密码保护的情况下访问本地网络的 My Cloud 用户，它对于 DLNA 服务器软件而言十分常见。西部数据建议用户在禁用 DLNA 功能的分享中保存内容时设置密码；或者为整个系统禁用 Twonky 服务器，以便仅禁用 DLNA 媒体服务器功能。”

这名发言人指出，在默认情况下，DLNA 在所有的 My Cloud 和 My Cloud 镜像产品中都是启用的；而其它 My Cloud Pro 系列和 Expert 系列产品是默认禁用的。

西部数据公司表示，只有存在于启用 DLNA 的“分享”中的文件可在不受密码保护的情况下被访问，而且仅有本地用户可访问。这名发言人并未解决 Trustwave 公司关于外部未认证人员访问设置了用户和访问限制的文件的权限问题。

研究人员指出，“如果提供的 NAS 设备为用户提供认证和访问控制，那么从安全角度来讲，实现这种不可靠的 DLNA 组件是不可行的。”

Sigler表示，Trustwave 公司发布的 PoC 攻击涉及攻击者向端口 9000 发布 HTTP 请求，要求获得 “TMSContentDirectory/Control” 资源。Sigler 指出，请求应该包含具有 Browse 动作的 XML。UPnP 服务器将以设备上的文件清单进行响应。然后，攻击者通过后续 HTTP 请求使用所收集的响应的 URL 从设备中提取文件。

无论用户是否设置了 My Cloud EX2 的权限和凭证以保证孩子的照片被锁定且尽可被经认证的某些人访问，如果了解 My Cloud EX2 设备流量的运作方式，那么任何人均可获取设备上的任意文件。这是 My Cloud EX2 设备的某些新特征。

实际上，西部数据的 NAS 产品中曾出现过多个漏洞。该公司已修复几个严重漏洞，其中最严重的漏洞可导致远程攻击者获得对设备的不受限制的根访问权限。

1月份，GulfTech 公司的研究员发现设备存在一个后门漏洞，可导致远程攻击者向易受攻击的西部数据 NAS 设备发送一个 POST 请求，从而将任意文件上传至运行在易受攻击设备上的服务器中。GulfTech 公司还发现了设备的硬编码管理员凭证中存在后门问题。其它公司如 Trustwave、趋势科技等曾发现的漏洞包括跨站点请求伪造、命令注入、拒绝服务和信息泄露等。

Trustwave 公司表示在1月26日发现上述漏洞，建议关闭 DLNA 功能保护用户数据。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。