WD 不打算修復 My Cloud OS3 儲存裝置上的漏洞
廠方近期停止了對這系列 NAS 的支援。
Western Digital 的 NAS 產品最近還真是多災多難,在 My Book Live 系列先後被爆出兩個可能導致數據被抹除的漏洞之後,安全專家 Brian Krebs 日前又發文揭露,其實 WD 旗下運行 My Cloud OS3 軟體的裝置還存在另一個 zero-day 漏洞。而對使用者來說很不幸的消息是,WD 官方除了建議你升級到更新的產品外,似乎並無意為此提供專門的解決辦法。
今年早些時候,兩位安全研究者 Radek Domanski 和 Pedro Ribeiro 發現了一系列可被駭客利用在遠端更新 My Cloud OS3 裝置以安插後門的漏洞。兩人稱自己聯絡了 WD,但對方卻從未有過回音。而對於此事,廠方現在的說辭聽起來頗有些無厘頭。「當時跟我們溝通的研究團隊已經確定他們會公佈漏洞的細節,並告知我們如有問題的話可以聯絡他們。」WD 代表這麼說道,「我們沒有問題所以就沒有回應,在那之後我們更新了自己的處理流程,會對每一份報告都作出回應以避免再次發生溝通上的誤會。」
這次被指出的漏洞並未波及到 My Cloud OS 5,目前官方似乎也沒有專門針對其給出修復的計畫。「修復方案是有的,我們用 OS 5 給 OS3 打上了『補丁』。」WD 代表這麼告訴我們,「My Cloud OS 5 是一次重要的安全更新,相較舊版 My Cloud 韌體它在結構上進行了大改。所有在支援期內的 My Cloud 產品都可以更新到 My Cloud OS 5,我們建議所有有資格的用戶都盡快升級以獲取最新的安全保障。」
只不過,根據 WD 支援頁面上的資訊來看,My Cloud OS3 的韌體安全更新從今年 3 月 12 日起便已停止,也就是說官方的建議其實就是直接更新換代啦。對於 NAS 本身沒什麼毛病的用戶來說,多半是不情願這麼做的。對於這些用戶,Domanski 和 Ribeiro 提供了一個自己開發的補丁,使用時唯一的限制就是每次重開機都得重新運行一次。當然,還有一個比較笨的辦法,就是對 NAS 連網進行限制囉。