西数My Cloud个人云存储硬盘含两个严重安全漏洞

来自VerSprite的安全研究人员近日监测到西数My Cloud个人云存储硬盘设备包含两个安全漏洞，允许使用某个版本Debian Linux的攻击者通过一个Web访问UI和一个RESTful API与硬盘发生联系，从而会给不法分子提供两种攻击方式：通过命令注入，或是通过跨站请求伪造（CSRF）攻击漏洞。

西数My Cloud个人云存储硬盘允许用户将该硬盘放在家中，通过本地局域网对设备进行访问；或者在其他位置通过互联网对硬盘内容进行访问。这个原理和目前所有公共云存储相同，只不过西数My Cloud只属于你个人。

攻击者可以利用第一个漏洞注入多行命令，以获取设备Root权限。第二个漏洞可通过该设备的Web应用进行利用，尽管该设备在没有接入互联网时很难被利用，但研究人员称，使用社会工程学方法以及WebRTC（网页实时通信），可以提升获取该漏洞利用权限的机会。

研究人员表示，04.01.03-421 和 04.01.04-422 版本的固件具有极高风险，西数已确认该漏洞并正在进行修复，有望在未来几天内推出修复版本。