许多HEXUS用户可能拥有Western Digital MyCloud NAS设备。这些是流行的入门级和网络存储设备，但最近出现了一个“简单”的身份验证绕过漏洞。保持他们的个人/家庭/商业数据私密将是许多NAS设备用户的主要关注点，但据报道，WD没有采取任何措施来修补一年前它被警告的缺陷。

'欢迎'给任何人

安全研究员在2017年4月提醒WD注意权限升级错误后表示，WD已停止回应他的通讯。“白帽黑客”通常会给公司90天的回应，但Vermulen超出了这个时间尺度（260天），让WD有足够的机会做出回应和补丁。他发现WD在过去一年中已经发布了固件修复程序，但是他们都没有修复这个容易利用远程访问漏洞的问题。同时，该漏洞由另一个安全团队独立发现，该团队发布了自己的漏洞利用代码，

根据Vermulen的说法，远程访问错误很容易被利用。如果您的MyCloud设备设置为允许通过Internet进行远程访问，则如果设置了username = admin cookie，则未经身份验证的用户可以创建有效会话。之后，新用户通过MyCloud Web界面“完全控制”用户的数据。安全漏洞的原因在于，基于Web的仪表板“在允许攻击者访问应该需要更高级别访问权限的工具之前，不会正确检查用户的凭据”解释源代码报告。

尽管显然忽略了Vermulen，但WD发言人回应了TechCrunch关于此特权升级漏洞的询问。“我们正在完成预定的固件更新，以解决报告的问题，”该公司官员表示。关于时间安排，补丁将在“几周内”到达。WD承认My Cloud EX2，EX4和Mirror产品易受攻击，但不是较新的My Cloud Home设备。

如果你拥有一个受影响的WD产品，那么Vermeulen建议用户“暂时断开”设备，以确保他们的数据安全。