Sicherheitsforscher haben kürzlich eine Schwachstelle in Western Digital MyBook Live-Netzwerkspeicherlaufwerken gemeldet. Die Schwachstelle ermöglichte es einem Remote-Angreifer, die Laufwerke zu löschen, „dank eines Fehlers in einer Produktlinie, die das Unternehmen nicht mehr unterstützte“. 2015, sowie ein bisher unbekannter Zero-Day-Fehler.“
Schwerwiegende Sicherheitslücken in Western Digital MyCloud-Netzwerkspeichergeräten
Jedoch, der Forscher wies auf einen „ähnlich schwerwiegenden Zero-Day“ hin, der sich in einem viel breiteren Spektrum neuerer Western Digital MyCloud-Netzwerkspeichergeräte befindet. Das Erschreckende ist, dass der Fehler für viele Kunden, die nicht auf das neueste Betriebssystem aktualisieren können oder werden, nicht behoben wird fixed.
Der fragliche Fehler ist ein RCE (Remotecodeausführung) Problem, das bei allen an das Netzwerk angeschlossenen Western Digital-Geräten auftritt (NAS) die das MyCloud OS ausführen 3. Dies ist ein Betriebssystem, das vom Unternehmen nicht mehr unterstützt wird.
verbunden: CVE-2020-2509 und CVE-2021-36195 in QNAP Nas Devices
„Die Forscher Radek Domanski und Pedro Ribeiro hatten ursprünglich geplant, ihre Ergebnisse letztes Jahr beim Pwn2Own-Hacking-Wettbewerb in Tokio zu präsentieren. Aber nur wenige Tage vor der Veranstaltung veröffentlichte Western Digital MyCloud OS 5, was den gefundenen Fehler beseitigt hat. Dieses Update hat ihre Chancen, bei Pwn2Own zu konkurrieren, effektiv zunichte gemacht, die Exploits erfordert, um gegen die neueste Firmware oder Software zu arbeiten, die vom Zielgerät unterstützt wird,“ Brian Krebs berichtete.
Dennoch, Vor einigen Monaten haben die Forscher ein detailliertes YouTube-Video veröffentlicht, in dem gezeigt wird, wie sie eine Reihe von Fehlern entdeckt haben, die es Angreifern ermöglichen, die Firmware eines anfälligen Geräts aus der Ferne mit einer bösartigen Hintertür zu aktualisieren. Dies geschah über ein Benutzerkonto mit geringen Berechtigungen mit einem leeren Passwort.
Laut dem Forscherduo, Western Digital hat nie auf ihre Berichte reagiert. „In einer Erklärung an KrebsOnSecurity, Western Digital sagte, es habe seinen Bericht nach Pwn2Own Tokyo erhalten 2020, aber dass die von ihnen gemeldete Schwachstelle zu dem Zeitpunkt bereits durch die Veröffentlichung von My Cloud OS 5 behoben war“, erklärte Brian Krebs.
Was hat Western Digital gesagt??
Es scheint, dass sie die Forscher nicht kontaktiert haben, weil sie keine Fragen zu der Entdeckung hatten. Dies ist Teil der Aussage des Unternehmens Krebs kürzlich gemeinsam genutzt:
Die Nachricht, die uns erreichte, bestätigte, dass das beteiligte Forschungsteam plante, Details der Sicherheitslücke zu veröffentlichen, und uns gebeten, sich bei Fragen an sie zu wenden.. Wir hatten keine Fragen und haben nicht geantwortet. Seit damals, Wir haben unseren Prozess aktualisiert und reagieren auf jede Meldung, um solche Missverständnisse erneut zu vermeiden. Wir nehmen Meldungen aus der Sicherheitsforschungsgemeinschaft sehr ernst und führen Untersuchungen durch, sobald wir sie erhalten.
Das Unternehmen empfiehlt seinen Benutzern dringend, auf die My Cloud OS5-Firmware umzusteigen. „Wenn Ihr Gerät nicht für ein Upgrade auf My Cloud OS geeignet ist 5, Wir empfehlen Ihnen, auf eines unserer anderen My Cloud-Angebote zu aktualisieren, die My Cloud OS unterstützen 5. Weitere Informationen finden Sie hier."
Jedoch, nach Domanski, Benutzer sollten gewarnt werden, dass OS 5 ist eine komplette Neufassung des Kernbetriebssystems von Western Digital, Das bedeutet, dass einige der populäreren Features und Funktionalitäten, die in OS3 integriert sind, fehlen.
Als Reaktion auf mehrere unzufriedene Kunden, Western Digital hat versprochen, Datenwiederherstellungsdienste anzubieten. Laut Dan Goodin . von Ars Technica, „MyBook Live-Kunden haben auch Anspruch auf ein Trade-In-Programm, damit sie auf MyCloud-Geräte upgraden können.“ In Ergänzung, Eine Sprecherin von Western Digital sagte auch, dass der Datenwiederherstellungsdienst kostenlos sein wird.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: