Dispozitive WD NAS vulnerabile la atacuri din cauza unei defecțiuni de Zero-Day, care încă nu trebuie remediată oficial

[TLG WilliamS]

 

 

WD a lansat My Cloud OS 5 în loc să remedieze vulnerabilitatea de zero zile care există în My Cloud OS 3.

 

Dispozitivele Western Digital (WD) care rulează My Cloud OS 3 s-au dovedit a fi vulnerabile din cauza existenței unui defect de zero zile. Noua lacună de securitate, care a fost descoperită de cercetătorii în domeniul securității, a intrat în centrul atenției la doar câteva zile după ce o altă vulnerabilitate gravă a condus la anularea datelor de către unii utilizatori de pe dispozitivele WD My Book Live. WD a atenuat în liniște problema impactului unităților sale de stocare care rulează My Cloud OS 3, lansând anul trecut My Cloud OS 5. Cu toate acestea, vulnerabilitatea poate avea în continuare un impact major, deoarece un număr mare de dispozitive de stocare conectate la rețea (NAS) WD nu sunt încă actualizate la cel mai recent sistem de operare.

 

Vulnerabilitatea de zero zile care afectează My Cloud OS 3 a fost descoperită de cercetătorii în materie de securitate Pedro Ribeiro și Radek Domanski. Ambii cercetători au realizat un videoclip , disponibil pe YouTube, pentru a detalia problema care permite în mod esențial atacatorilor să actualizeze de la distanță firmware-ul de pe un dispozitiv vulnerabil folosind accesul din spate, după cum a raportat KrebsOnSecurity. Vulnerabilitatea ar putea fi exploatată folosind un cont de utilizator care poartă o parolă necompletată.

 

 

Potrivit cercetătorilor, vulnerabilitatea afectează majoritatea liniei WD NAS, deși dispozitivele care rulează My Cloud OS 5 nu sunt afectate deoarece noul sistem de operare bazat pe cloud a remediat lacuna. De asemenea, WD a menționat pe pagina de asistență că nu va oferi nicio actualizare de securitate a firmware-ului My Cloud OS 3 și recomandă utilizatorilor să se mute în My Cloud OS 5.

 

Cu toate acestea, este important să subliniem că My Cloud OS 5 vine ca o rescriere completă a sistemului de operare al companiei conceput pentru dispozitivele NAS. Aceasta înseamnă că nu are toate caracteristicile disponibile pe My Cloud OS 3. Versiunea mai nouă nu acceptă, de asemenea, accesul la stocare la distanță pe dispozitive mai vechi, inclusiv pe cele care rulează pe Windows 7, Android 4.0 și iOS 8.0.

 

Disponibilitatea limitată a caracteristicilor din My Cloud OS 5 ar fi putut restricționa unii utilizatori să continue să utilizeze sistemul de operare mai vechi (vulnerabil la citire) pe dispozitivele lor. De asemenea, este important să rețineți că noul sistem de operare nu acceptă hardware, cum ar fi WD My Book Live , My Book Live Duo , WD TV Live Hub și My Net N900c. De asemenea, nu este încă disponibil pentru o listă de dispozitive WD, inclusiv My Cloud , My Cloud EX2, My Cloud EX4 și My Cloud Mirror.

 

Unii dintre utilizatorii care au încercat să treacă la My Cloud OS 5 anul trecut au raportat, de asemenea, că actualizarea a blocat dispozitivele lor.

 

Cu toate aceste limitări și probleme, în prezent nu este clar câți utilizatori au trecut de fapt la cel mai recent sistem de operare și nu sunt afectați de vulnerabilitatea de zero zile. WD a furnizat pași pentru a face upgrade la My Cloud OS 5 printr-o pagină de asistență, dar acest lucru nu va fi de niciun folos pentru persoanele cu hardware neacceptat sau care doresc să obțină toate caracteristicile pe care le foloseau pe My Cloud OS 3.

 

Acestea fiind spuse, cercetătorii care au descoperit defectul și-au dezvoltat și lansat propriul patch pentru a remedia lacuna pe care au găsit-o în My Cloud OS 3. WD a menționat că era conștient de faptul că terți ofereau patch-uri de securitate pentru hardware-ul său mai vechi. „Nu am evaluat niciun astfel de patch-uri și nu putem oferi suport pentru astfel de patch-uri”, a spus acesta.

 

Domeniul de aplicare al noii vulnerabilități de zi zero ar putea fi la fel de larg ca cel afectat de utilizatorii WD My Book Live luna trecută. Cu toate acestea, compania nu a confirmat încă dacă are remedieri în lucru.

 

Sursa

Edited July 6, 2021 by TLG Wilhelm

[RW YuukiKING]