由于网络附加存储（Network Attached Storage，NAS）设备为数据存储和存储空间扩展提供了一种便捷且经济的方法，因此这一类产品已经成为了许多中小型企业的首选存储设备。但它能够保障企业的数据安全吗？国外网络安全网站WizCase于近日给我们带来了答案——“似乎并不能够”。 [出自:jiwo.org]

WizCase在近日发表的一篇博文中指出，他们日前邀请安全专家 Paulos Yibelo和Daniel Eshetu一起对一些受欢迎的NAS设备进行了安全测试，从中发现了两个可能允许攻击者任意读取文件、添加/删除用户、添加/修改现有数据，以及在设备上远程执行具有最高权限命令的关键漏洞（CVE-2018-18471和CVE-2018-18472）。

正如WizCase在博文中所提到的那样，他们一共对四款NAS设备进行了测试，这包括WD My Book、SeaGate Home、NetGear Stora和Medion LifeCloud NAS。其中，SeaGate Home、NetGear Stora和Medion LifeCloud NAS均受到CVE-2018-18471的影响，而WD My Book则受到CVE-2018-18472的影响。

CVE-2018-18471是一个存在于Axentra Hipserv NAS固件中的XXE及未经验证的远程命令执行漏洞。Axentra Hipserv是一种NAS操作系统，可为不同NAS设备提供基于云的登录和文件存储、管理功能。由于SeaGate Home、NetGear Stora和Medion LifeCloud NAS都采用了这种固件，因此它们均受到该漏洞的影响。值得注意的是，其他使用该固件的设备同样也可能受该漏洞影响。

WD MyBook Live和某些型号的WD MyCloud NAS则受到CVE-2018-18471的影响，允许任何人以root用户身份在设备上执行命令。根据WizCase的描述，这个漏洞存在于REST API中的语言更改和修改功能中。

西部数据（Western Digital，WD）在写给WizCase的回复中表示，CVE-2018-18472会影响到最初在2010年至2012年期间推向市场的My Book Live设备。由于这些产品已经在2014年停产，因此用户可能无法获得来自西部数据的技术支持。

WizCase在博文中还指出，根据他们的统计，目前约有200万台受漏洞影响的设备在线连接。由于这两个漏洞还没有对应的修复补丁可用，并且PoC漏洞利用代码已经发布。因此，如果你正在使用这些设备，请务必断开它们与互联网的连接，或者使用防火墙来阻止对这些设备的远程访问。