在6月下旬曝出了NAS數據會被惡意攻擊者抹除的猛料之後，KrebsOnSecurity又介紹了在更多WD設備中發現的一個新漏洞。安全研究人員Pedro Ribeiro與Radek Domanski指出，問題似乎集中在Cloud OS 3平台、而不是新近發布的Cloud OS 5上。然而由於後者缺乏某些功能和特性，許多用戶都寧可運行無補丁可打的舊版軟件。

（來自：Flashback Team / YouTube）

一方面，WD 表示不會為Cloud OS 3 設備提供安全更新補丁。另一方面，一些用戶也苦惱於無法升級至Cloud OS 5 。

支持頁面顯示，Cloud OS 5並不適用於MyCloud EX2 / EX4、或某些版本的My Cloud和My Cloud Mirror 。

對於這部分用戶，WD 建議是換用支持新版軟件的設備。或者參考去年致Comparitech 的一份聲明，直接在控制台中將遠程訪問功能給禁用掉。

安全研究人員指出，他們可以遠程訪問到一台Cloud OS 3 設備，然後給它刷入修改後的新固件。

按照慣例，固件更新功能僅面向經過身份驗證的用戶開放，但Flashback Team 還是成功地繞過了這一限制，原因是NAS 上似乎有一個密碼為空的用戶賬戶。

借助相關漏洞，攻擊者可在NAS 上執行任意命令。或者黑客也可以利用固件更新功能，讓設備直接變磚。

Exploiting & Patching a 0-Day RCE Vulnerability in a WD NAS（via）

尷尬的是，儘管研究人員設法編譯了一個自定義的安全補丁，但在每次重啟後，用戶仍需手動將之應用於設備。