I ricercatori della sicurezza hanno recentemente segnalato una vulnerabilità nelle unità di archiviazione di rete Western Digital MyBook Live. La vulnerabilità ha permesso all'attaccante remoto di cancellare le unità "grazie a un bug in una linea di prodotti che l'azienda ha smesso di supportare" 2015, così come un difetto zero-day precedentemente sconosciuto.”
Gravi vulnerabilità nei dispositivi di archiviazione di rete MyCloud di Western Digital
Tuttavia, il ricercatore ha indicato un "similmente serios zero-day" situato in un ranger molto più ampio di nuovi dispositivi di archiviazione di rete Western Digital MyCloud. La cosa spaventosa è che il bug non verrà risolto per molti clienti che non possono o non vogliono eseguire l'aggiornamento all'ultimo sistema operativo.
Il difetto in questione è un RCE (esecuzione di codice remoto) problema che risiede in tutti i dispositivi collegati alla rete Western Digital (NAS) che eseguono il sistema operativo MyCloud 3. Questo è un sistema operativo non più supportato dall'azienda.
Correlata: CVE-2020-2509 e CVE-2021-36195 nei dispositivi nasali QNAP
"I ricercatori Radek Domanski e Pedro Ribeiro avevano originariamente pianificato di presentare le loro scoperte al concorso di hacking Pwn2Own a Tokyo lo scorso anno. Ma pochi giorni prima dell'evento, Western Digital ha rilasciato MyCloud OS 5, che ha eliminato il bug che hanno trovato. Quell'aggiornamento ha effettivamente annullato le loro possibilità di competere in Pwn2Own, che richiede exploit per funzionare con l'ultimo firmware o software supportato dal dispositivo di destinazione,” Brian Krebs ha riferito.
Ciò nonostante, alcuni mesi fa i ricercatori hanno pubblicato un video dettagliato su YouTube che mostra come hanno scoperto una catena di difetti che consente agli aggressori di aggiornare in remoto il firmware di un dispositivo vulnerabile con una backdoor dannosa. Ciò è stato fatto tramite un account utente con privilegi limitati con una password vuota.
Secondo il duo di ricerca, Western Digital non ha mai risposto alle loro segnalazioni. “In una dichiarazione fornita a KrebsOnSecurity, Western Digital ha dichiarato di aver ricevuto il loro rapporto dopo Pwn2Own Tokyo 2020, ma che all'epoca la vulnerabilità da loro segnalata era già stata risolta dal rilascio di My Cloud OS 5", ha spiegato Brian Krebs.
Cosa ha detto Western Digital??
Sembra che non abbiano contattato i ricercatori perché non avevano domande sulla scoperta. Questo fa parte della dichiarazione della società Krebs di recente diviso:
La comunicazione che ci è pervenuta ha confermato che il team di ricerca coinvolto aveva pianificato di rilasciare i dettagli della vulnerabilità e ci ha chiesto di contattarli per qualsiasi domanda. Non avevamo domande quindi non abbiamo risposto. Da allora, abbiamo aggiornato il nostro processo e rispondiamo a ogni segnalazione per evitare di nuovo problemi di comunicazione come questo. Prendiamo molto sul serio le segnalazioni della comunità di ricerca sulla sicurezza e conduciamo indagini non appena le riceviamo.
L'azienda consiglia vivamente ai suoi utenti di passare al firmware My Cloud OS5. "Se il tuo dispositivo non è idoneo per l'aggiornamento a My Cloud OS 5, ti consigliamo di eseguire l'upgrade a una delle nostre altre offerte My Cloud che supportano My Cloud OS 5. Maggiori informazioni possono essere trovate qui."
Tuttavia, secondo Domanski, gli utenti dovrebbero essere avvisati che OS 5 è una riscrittura completa del sistema operativo principale di Western Digital, il che significa che mancano alcune delle caratteristiche e delle funzionalità più popolari integrate in OS3.
In risposta a più clienti insoddisfatti, Western Digital ha promesso di fornire servizi di recupero dati. Secondo Dan Goodin di Ars Technica, "I clienti di MyBook Live avranno anche diritto a un programma di permuta in modo che possano eseguire l'aggiornamento ai dispositivi MyCloud". Inoltre, un portavoce di Western Digital ha anche affermato che il servizio di recupero dati sarà gratuito.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: