Western DigitalのMyCloud NASシリーズの重大な脆弱性が（Metasploitモジュールつきで）公開されました。

「WDMyCloud バージョン2.30.165以下の複数の脆弱性」（情報源）

gulftech.org

「Western Digitalの『My Cloud』ストレージの未対応の重大な問題が公開」（報道例1）

thehackernews.com

「Western DigitalのNAS HDD、バックドアアカウントを削除」（報道例2）

www.bleepingcomputer.com

タイトルの通りで、WDのNAS、MyCloudシリーズの脆弱性が公開されました。

• 誰でもファイルアップロードが可能な脆弱性
• ハードコードされたバックドアアカウントの存在
• その他の脆弱性（XSS、コマンドインジェクション、DoS、不適切な情報公開）

この製品の性質上、インターネットから到達可能な場所（個人用ルータのDMZなど）に配置することも多いと思いますので、とにかく一刻も早くパッチを適用する必要があります。現在はMiraiなどのワームが大流行しており、このバックドアも既に対応されていると考えるべきでしょう。

なお、ネットからの直接アクセスできなければ安心とも限りません。バックドアアカウントは単純なimgタグによりコマンドを実行できてしまうため（元の報告にはタグの具体例すら書いてあります）、クラッカーは様々な場所に広告なり投稿という形でリンクをまき散らすことが可能です。

脆弱なMyCloud利用者がブラウザでそのページをアクセスした瞬間、（たとえブラウザや、アクセスするPCなりスマートフォンなりに脆弱性がなくても）ブラウザ経由で同一LAN内のMyCloudバックドアアカウントが攻略される、というわけです。極論すれば、自宅や職場のLANに接続したスマートフォンのアプリに出てくる広告から攻撃するシナリオ（Malvertising組み合わせ）も想定できるでしょう。

（※）もちろんLAN内でのNASへのURIが正しければの話ですが）

というわけで、とにかくパッチを適用しましょう。