WD 不打算修復 My Cloud OS3 儲存裝置上的漏洞

Western Digital 的 NAS 產品最近還真是多災多難，在 My Book Live 系列先後被爆出兩個可能導致數據被抹除的漏洞之後，安全專家 Brian Krebs 日前又發文揭露，其實 WD 旗下運行 My Cloud OS3 軟體的裝置還存在另一個 zero-day 漏洞。而對使用者來說很不幸的消息是，WD 官方除了建議你升級到更新的產品外，似乎並無意為此提供專門的解決辦法。

今年早些時候，兩位安全研究者 Radek Domanski 和 Pedro Ribeiro 發現了一系列可被駭客利用在遠端更新 My Cloud OS3 裝置以安插後門的漏洞。兩人稱自己聯絡了 WD，但對方卻從未有過回音。而對於此事，廠方現在的說辭聽起來頗有些無厘頭。「當時跟我們溝通的研究團隊已經確定他們會公佈漏洞的細節，並告知我們如有問題的話可以聯絡他們。」WD 代表這麼說道，「我們沒有問題所以就沒有回應，在那之後我們更新了自己的處理流程，會對每一份報告都作出回應以避免再次發生溝通上的誤會。」

這次被指出的漏洞並未波及到 My Cloud OS 5，目前官方似乎也沒有專門針對其給出修復的計畫。「修復方案是有的，我們用 OS 5 給 OS3 打上了『補丁』。」WD 代表這麼告訴我們，「My Cloud OS 5 是一次重要的安全更新，相較舊版 My Cloud 韌體它在結構上進行了大改。所有在支援期內的 My Cloud 產品都可以更新到 My Cloud OS 5，我們建議所有有資格的用戶都盡快升級以獲取最新的安全保障。」

只不過，根據 WD 支援頁面上的資訊來看，My Cloud OS3 的韌體安全更新從今年 3 月 12 日起便已停止，也就是說官方的建議其實就是直接更新換代啦。對於 NAS 本身沒什麼毛病的用戶來說，多半是不情願這麼做的。對於這些用戶，Domanski 和 Ribeiro 提供了一個自己開發的補丁，使用時唯一的限制就是每次重開機都得重新運行一次。當然，還有一個比較笨的辦法，就是對 NAS 連網進行限制囉。