許多HEXUS用戶可能擁有Western Digital MyCloud NAS設備。這些是流行的入門級和網絡存儲設備，但最近出現了一個“簡單”的身份驗證繞過漏洞。保持他們的個人/家庭/商業數據私密將是許多NAS設備用戶的主要關注點，但據報道，WD沒有采取任何措施來修補一年前它被警告的缺陷。

'歡迎'給任何人

安全研究員在2017年4月提醒WD注意權限升級錯誤后表示，WD已停止回應他的通訊。“白帽黑客”通常會給公司90天的回應，但Vermulen超出了這個時間尺度（260天），讓WD有足夠的機會做出回應和補丁。他發現WD在過去一年中已經發布了固件修復程序，但是他們都沒有修復這個容易利用遠程訪問漏洞的問題。同時，該漏洞由另一個安全團隊獨立發現，該團隊發布了自己的漏洞利用代碼，

根據Vermulen的說法，遠程訪問錯誤很容易被利用。如果您的MyCloud設備設置為允許通過Internet進行遠程訪問，則如果設置了username = admin cookie，則未經身份驗證的用戶可以創建有效會話。之后，新用戶通過MyCloud Web界面“完全控制”用戶的數據。安全漏洞的原因在于，基于Web的儀表板“在允許攻擊者訪問應該需要更高級別訪問權限的工具之前，不會正確檢查用戶的憑據”解釋源代碼報告。

盡管顯然忽略了Vermulen，但WD發言人回應了TechCrunch關于此特權升級漏洞的詢問。“我們正在完成預定的固件更新，以解決報告的問題，”該公司官員表示。關于時間安排，補丁將在“幾周內”到達。WD承認My Cloud EX2，EX4和Mirror產品易受攻擊，但不是較新的My Cloud Home設備。

如果你擁有一個受影響的WD產品，那么Vermeulen建議用戶“暫時斷開”設備，以確保他們的數據安全。