Trustwave公司的安全专家发现，西部数据（Western Digital，WD）的My Cloud EX2存储设备在默认情况下会将文件泄露给本地网络中的任何人，无论用户设置的权限如何。如果用户还将其配置为可通过互联网远程访问，那么情况会变得更糟。在这种情况下，My Cloud EX2存储设备会通过端口9000上的HTTP请求泄露文件。

在本周三（4月25日），Trustwave公司公布了它的调查结果。该公司警告说：“不幸的是，新的My Cloud EX2存储设备的默认配置允许任何未经身份验证的本地网络用户使用HTTP请求从设备获取任何文件。”

研究人员表示，泄露是由于设备的UPnP媒体服务器在设备开机时自动启动。Trustwave的安全研究经理Martin Rakhmanov在针对My Cloud EX2存储设备的技术分析中写道：“默认情况下，未经身份验证的用户可以从设备中抓取任何文件，完全绕过设备所有者或管理员设置的任何权限或限制。”

Trustwave透露，他们在1月26日就已经发现了这个漏洞。当他们向西部数据公司透露他们的调查结果时，该公司最初低估了这个漏洞所带来的影响，只是建议用户禁用DLNA。该公司还表示，由于泄露问题是因不安全的默认设置而引起的，因此这并不值得花时间来进行修复。

此外，西部数据公司的一位发言人还表示，DLNA只是在所有的My Cloud和My Cloud Mirror产品上是默认开启的，但在其他My Cloud Pro系列和Expert系列产品上是被默认禁用的。

“你不必经过身份验证，也不需要提前获得登录凭证。如果My Cloud EX2存储设备恰好就存在于开放的互联网上且脆弱的端口9000是开放的，那么你便能够从任何地方访问设备上的每一个文件。”Trustwave SpiderLabs的威胁情报经理Karl Sigler在接受媒体采访时说。

Trustwave为这个漏洞发布了一个概念验证（PoC）代码，攻击场景涉及需要攻击者向端口9000发出HTTP请求，要求提供“TMSContentDirectory / Control”资源，UPnP服务器反过来会以设备上的文件列表进行响应。接下来，攻击者便可以使用后续的HTTP请求，利用收集的响应中的URL从设备中获取实际文件。

Trustwave表示，由于西部数据并不会对这个漏洞进行修复，因此禁用DLNA是保护数据安全的唯一办法，即使你对My Cloud EX2存储设备设置了任何权限或限制。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。