西部数据|西部数据不打算修复 My Cloud OS3 存储设备上的漏洞 bribook

文章插图
Western Digital
西部数据的 NAS 产品最近还真是多灾多难，在 My Book Live 系列先后被爆出两个可能导致数据被抹除的漏洞之后，安全专家 Brian Krebs 日前又发文揭露，其实西数旗下运行 My Cloud OS3 软件的设备还存在另一个零日漏洞。而对使用者来说很不幸的消息是，西数官方除了建议你升级到更新的产品外，似乎并无意为此提供专门的解决办法。
今年早些时候，两位安全研究者 Radek Domanski 和 Pedro Ribeiro 发现了一系列可被骇客利用在远端更新 My Cloud OS3 设备以安插后门的漏洞。两人称自己联络了西数，但对方却从未有过回音。而对于此事，厂方现在的说辞听起来颇有些无厘头。「当时跟我们沟通的研究团队已经确定他们会公布漏洞的细节，并告知我们如有问题的话可以联络他们。」西数代表这么说道，「我们没有问题所以就没有回应，在那之后我们更新了自己的处理流程，会对每一份报告都作出回应以避免再次发生沟通上的误会。」
这次被指出的漏洞并未波及到 My Cloud OS 5，目前官方似乎也没有专门针对其给出修复的计划。「修复方案是有的，我们用 OS 5 给 OS3 打上了『补丁』。」西数代表这么告诉我们，「My Cloud OS 5 是一次重要的安全更新，相较旧版 My Cloud 固件它在结构上进行了大改。所有在支持期内的 My Cloud 产品都可以更新到 My Cloud OS 5，我们建议所有有资格的用户都尽快升级以获取最新的安全保障。」
【西部数据|西部数据不打算修复 My Cloud OS3 存储设备上的漏洞】只不过，根据西数支持页面上的信息来看，My Cloud OS3 的固件安全更新从今年 3 月 12 日起便已停止，也就是说官方的建议其实就是直接更新换代啦。对于 NAS 本身没什么毛病的用户来说，多半是不情愿这么做的。对于这些用户，Domanski 和 Ribeiro 提供了一个自己开发的补丁，使用时唯一的限制就是每次重启都得重新运行一次。当然，还有一个比较笨的办法，就是对 NAS 联网进行限制啰。