Los investigadores de seguridad informaron recientemente de una vulnerabilidad en las unidades de almacenamiento en red Western Digital MyBook Live. La vulnerabilidad permitió que un atacante remoto borrara las unidades "gracias a un error en una línea de productos que la empresa dejó de admitir en 2015, así como una falla de día cero previamente desconocida ".
Serias vulnerabilidades en los dispositivos de almacenamiento en red Western Digital MyCloud
Sin embargo, el investigador señaló un "día cero igualmente serio" ubicado en un rango mucho más amplio de dispositivos de almacenamiento de red Western Digital MyCloud más nuevos. Lo que da miedo es que el error no se solucionará para muchos clientes que no pueden o no quieren actualizar a la última versión del sistema operativo..
El defecto en cuestión es un RCE (ejecución remota de código) problema que reside en todos los dispositivos conectados a la red Western Digital (NAS) que ejecutan el sistema operativo MyCloud 3. Este es un sistema operativo que ya no es compatible con la empresa..
Relacionado: CVE-2020-2509 y CVE-2021-36195 en dispositivos QNAP Nas
“Los investigadores Radek Domanski y Pedro Ribeiro originalmente planearon presentar sus hallazgos en la competencia de piratería Pwn2Own en Tokio el año pasado. Pero pocos días antes del evento, Western Digital lanzó MyCloud OS 5, que eliminó el error que encontraron. Esa actualización anuló efectivamente sus posibilidades de competir en Pwn2Own, que requiere que los exploits funcionen contra el último firmware o software compatible con el dispositivo de destino,"Brian Krebs informó.
No obstante, Hace unos meses, los investigadores publicaron un video detallado de YouTube que mostraba cómo descubrieron una cadena de fallas que permitían a los atacantes actualizar de forma remota el firmware de un dispositivo vulnerable con una puerta trasera maliciosa.. Esto se hizo a través de una cuenta de usuario con pocos privilegios y una contraseña en blanco..
Según el dúo de investigadores, Western Digital nunca respondió a sus informes. “En una declaración proporcionada a KrebsOnSecurity, Western Digital dijo que recibió su informe después de Pwn2Own Tokyo 2020, pero que en ese momento la vulnerabilidad que informaron ya se había solucionado con el lanzamiento de My Cloud OS 5 ”, explicó Brian Krebs..
¿Qué dijo Western Digital??
Parece que no se comunicaron con los investigadores porque no tenían ninguna pregunta sobre el descubrimiento.. Esto es parte de la declaración de la empresa Krebs recientemente compartido:
La comunicación que recibimos confirmó que el equipo de investigación involucrado planeaba dar a conocer detalles de la vulnerabilidad y nos pidió que los contáramos con cualquier pregunta.. No teníamos ninguna pregunta, por lo que no respondimos. Desde entonces, Hemos actualizado nuestro proceso y respondemos a cada informe para evitar una mala comunicación como esta nuevamente.. Nos tomamos muy en serio los informes de la comunidad de investigación de seguridad y llevamos a cabo investigaciones tan pronto como los recibimos..
La empresa recomienda encarecidamente a sus usuarios que pasen al firmware My Cloud OS5. "Si su dispositivo no es elegible para actualizar a My Cloud OS 5, le recomendamos que actualice a una de nuestras otras ofertas de My Cloud que sean compatibles con My Cloud OS 5. Se puede encontrar más información aquí."
Sin embargo, según Domanski, Se debe advertir a los usuarios que el sistema operativo 5 es una reescritura completa del sistema operativo central de Western Digital, lo que significa que faltan algunas de las características y funcionalidades más populares integradas en OS3.
En respuesta a múltiples clientes insatisfechos, Western Digital se comprometió a proporcionar servicios de recuperación de datos. Según Dan Goodin de Ars Technica, "Los clientes de MyBook Live también serán elegibles para un programa de intercambio para que puedan actualizarse a dispositivos MyCloud". Además, una portavoz de Western Digital también dijo que el servicio de recuperación de datos será gratuito.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: