Exploitee.rs 揭露 WD My Cloud 系列 NAS 存在安全漏洞

Exploitee.rs 透過駭客技術揭露不少產品存在的安全漏洞，最近 Exploitee.rs 的 Zenofex 對自行購買的 WD My Cloud PR4100 進行測試，發現透過 SSH 連線，系統存在著 Login Bypass 與 Command Injection Bugs 等問題，且系統本身有些 Bug 存在。

BUG:
1 x Login Bypass
1 x Arbitrary File Write
13 x Unauthenticated Remote Command Execution Bugs
70 x Authentication Required Command Execution Bugs*

而受影響的機種包含：My Cloud / Gen 2、Mirror、PR2100、PR4100、EX2 Ultra、EX2、EX4、EX2100、EX4100、DL2100 與 DL4100 等機型，Exploitee.rs 揭露完整的程式碼與漏洞，更有影片提供給 WD 參考。

而使用這些機器的用戶，則建議關閉遠端外網連線，讓 NAS 保持在內網運作下，方能避免不必要的問題。

source:https://blog.exploitee.rs/2017/hacking_wd_mycloud/