继Intel处理器接连曝出严重安全后门之后，西部数据旗下著名的My Cloud系列NAS网络存储又被曝出了超级低级的后门。

Intel涉及的后门包括Meltdown和Spectre，其中Meltdown仅存在于Intel自1995年来所有处理器，允许低权限、用户级别的应用程序访问系统级的内存，从而造成数据泄露。

这个超级低级后门是GulfTech公司的研究人员James Bercegay发现的，他发现西部数据在My Cloud系列NAS云存储产品中设置了一个无法修改的硬编码后门，入侵方法也极其简单，黑客只需要设计一个恶意网站，一旦这些产品的用户打开这个页面，对方就可以获取存储路径，之后使用管理员账户“mydlinkBRionyg”、密码“abc12345cba”即可登录目标NAS系统，并获取完整的Shell远程访问权限。

其实该后门James Bercegay 早在2017年6月就披露过了，但是半年过去了，西数还是没有进行修复。

后门详解

由于西部数据错误地实现了gethostbyaddr（）PHP函数，所以该后门会驻留“multi_uploadify.php”脚本中。

这就意味着，这个超级低级后门允许远程攻击者上传一个任意文件到易受攻击的存储设备的联网服务器上。

另外攻击者也可以利用该后门以root身份获得远程shell，具体方法就是就是发送一个包含要上传的文件的请求，使用参数Filedata [0]在“folder”参数中指定要上传的文件位置以及伪造的主机名。

由于James Bercegay已经公开了一个 Metasploit 模块，因此所有人都可以轻易向WD NAS设备发起攻击。

具体过程就是，metasploit模块使用此后门将PHP webshell上传到‘/var /www /’目录。上传之后，webshell可以通过请求一个指向后门的URI来执行，从而触发恶意载荷。

除此之外，研究人员还发现存用户名“mydlinkBRionyg”和密码“abc12345cba”是被硬编码到二进制文件中，无法更改。这意味着，任何人都可以使用这些凭证登录到WD My Cloud设备。另外，使用这个后门访问，任何人都可以访问易受命令注入攻击的后门，并产生一个root shell。

利用该后门可能进行的攻击

1.跨站请求伪造：由于WD My Cloud的Web界面中并没有真正的XSRF保护，攻击者完全可以通过诱使受害者点击其设置的恶意网络，进而通过受害者的网页浏览器连接到其联网的My Cloud设备，并对其发动攻击。

2.命令注入：这个漏洞可能与XSRF后门相结合，从而获得受影响设备的完全控制权（root访问权限）。

3.拒绝服务：由于任何未经身份验证的用户都可以为整个存储设备及其所有用户设置全局语言首选项，因此攻击者可能会滥用此功能，从而导致Web界面出现DoS状况。

4.盗取信息：攻击者可以通过简单地向Web服务器发送一个简单的请求（如“GET /api/2.1/rest/users? HTTP/1.1”）来转储所有用户的列表，包括详细的用户信息，而不需要任何身份验证。

影响的设备范围

根据James Bercegay的披露，受影响的型号极其广泛，包括：

My Cloud Gen 2
My Cloud EX2
My Cloud EX2 Ultra
My Cloud PR2100
My Cloud PR4100
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

缓解措施

目前我们只能向所有受影响的用户提出彻底断网的建议，直到厂家推送安全补丁。

因为就算是不联网，只将My Cloud放在区域网路，一样可以使用该后门攻击用户的设备。因为黑客只需利用在区域网路中的另一台电脑，在网站上使用的HTML image以及iFrame tags技术，搭配已知的管理员名称以及密码，来向区域网路中的My Cloud发出访问的请求，一样可以存取My Cloud的属性。