西部数据 MyCloud NAS 设备发现硬编码后门

安全研究人员从西部数据的 MyCloud NAS 设备中发现了硬编码后门和多个安全漏洞。My Cloud 是西部数据的个人云储存设备，用户可将其用于管理家庭的照片和视频，受影响的版本为 MyCloud <= 2.30.165 和 MyCloudMirror <= 2.30.165。其硬编码后门是管理账号 mydlinkBRionyg 和密码 abc12345cba，该漏洞可被用于远程代码执行。你可能注意到这个帐户名包含了友讯科技的英文名 dlink，这个用户名也引起了研究人员的好奇，对其挖掘之后发现 D-Link DNS-320L ShareCenter 有着相同的硬编码后门和文件上传漏洞，看起来两家公司的软件共享了大量代码，但与 My Cloud 不同的是 D-Link DNS-320L 已经移除了后门修复了漏洞。D-Link 的后门是在固件版本 1.0.6 中移除的。两家公司的产品同一时间（2014 年）存在相同的后门不禁让人遐想万千。

以上内容由IFTTT自动发布，原文地址：http://www.solidot.org/story?sid=55122