Sikkerhedsforskere rapporterede for nylig om en sårbarhed i Western Digital MyBook Live-netværkslagerdrev. Sårbarheden gjorde det muligt for fjernangriber at slette drevne “takket være en fejl i en produktlinje, som virksomheden stoppede med at støtte 2015, samt en tidligere ukendt nul-dages fejl. ”
Alvorlige sårbarheder i Western Digital MyCloud Network Storage-enheder
Men, forskeren påpegede en "lignende serios zero-day" placeret i en meget bredere ranger af nyere Western Digital MyCloud netværkslagerenheder. Det skræmmende er, at fejlen ikke bliver rettet for mange kunder, der ikke kan eller ikke vil opgradere til det nyeste operativsystem.
Den pågældende fejl er en RCE (fjernkørsel af programkode) problem, der findes i alle Western Digital-netværkstilsluttede enheder (NAS) der kører MyCloud OS 3. Dette er et operativsystem, der ikke længere understøttes af virksomheden.
Relaterede: CVE-2020-2509 og CVE-2021-36195 i QNAP Nas-enheder
”Forskerne Radek Domanski og Pedro Ribeiro planlagde oprindeligt at præsentere deres fund ved Pwn2Own hacking-konkurrencen i Tokyo sidste år. Men kun få dage før begivenheden udgav Western Digital MyCloud OS 5, som eliminerede den fejl, de fandt. Denne opdatering ophævede effektivt deres chancer for at konkurrere i Pwn2Own, der kræver udnyttelse for at arbejde mod den nyeste firmware eller software, der understøttes af den målrettede enhed,”Rapporterede Brian Krebs.
Ikke desto mindre, for få måneder siden offentliggjorde forskerne en detaljeret YouTube-video, der viste, hvordan de opdagede en kæde af fejl, der gjorde det muligt for angribere at opdatere en sårbar enheds firmware eksternt med en ondsindet bagdør. Dette blev gjort via en bruger med lav privilegium med en tom adgangskode.
Ifølge forskningsduoen, Western Digital reagerede aldrig på deres rapporter. ”I en erklæring til KrebsOnSecurity, Western Digital sagde, at det modtog deres rapport efter Pwn2Own Tokyo 2020, men at på det tidspunkt var sårbarheden, de rapporterede, allerede blevet rettet ved frigivelsen af My Cloud OS 5, ”forklarede Brian Krebs.
Hvad sagde Western Digital?
Det ser ud til, at de ikke kontaktede forskerne, fordi de ikke havde spørgsmål vedrørende opdagelsen. Dette er en del af virksomhedens erklæring Krebs for nylig delt:
Kommunikationen, der kom vores vej, bekræftede, at det involverede forskningsteam planlagde at frigive detaljer om sårbarheden og bad os om at kontakte dem med spørgsmål. Vi havde ingen spørgsmål, så vi svarede ikke. Siden da, Vi har opdateret vores proces og reagerer på enhver rapport for at undgå enhver fejlkommunikation som denne igen. Vi tager rapporter fra sikkerhedsforskningsmiljøet meget alvorligt og foretager efterforskning, så snart vi modtager dem.
Virksomheden anbefaler sine brugere kraftigt at flytte til My Cloud OS5-firmwaren. “Hvis din enhed ikke er berettiget til opgradering til My Cloud OS 5, Vi anbefaler, at du opgraderer til et af vores andre My Cloud-tilbud, der understøtter My Cloud OS 5. Flere oplysninger kan findes her."
Men, ifølge Domanski, brugere skal advares om, at OS 5 er en komplet omskrivning af Western Digital's kerneoperativsystem, hvilket betyder, at nogle af de mere populære funktioner og funktioner, der er indbygget i OS3, mangler.
Som svar på flere ulykkelige kunder, Western Digital gav løftet om at levere datagendannelsestjenester. Ifølge Ars Technicas Dan Goodin, "MyBook Live-kunder er også berettigede til et indbytningsprogram, så de kan opgradere til MyCloud-enheder." Ud over, en talskvinde fra Western Digital sagde også, at datagendannelsestjenesten vil være gratis.