>> サイバーニュース >深刻なRCEの脆弱性がWesternDigitalの顧客のセキュリティを脅かす
サイバーニュース

深刻なRCEの脆弱性は、WesternDigitalの顧客のセキュリティを脅かします

WesternDigitalのゼロデイセキュリティ研究者は最近、Western DigitalMyBookLiveネットワークストレージドライブの脆弱性を報告しました. この脆弱性により、リモートの攻撃者はドライブをワイプすることができました。「会社がサポートを停止した製品ラインのバグのおかげで 2015, また、これまで知られていなかったゼロデイの欠陥もあります。」

WesternDigitalMyCloudネットワークストレージデバイスの深刻な脆弱性

でも, 研究者は、より広範囲の新しいWesternDigitalMyCloudネットワークストレージデバイスにある「同様にセリオスゼロデイ」を指摘しました. 怖いのは、最新のOSにアップグレードできない、またはアップグレードしない多くのお客様のバグが修正されないことです。.

問題の欠陥はRCEです (リモートコード実行) WesternDigitalのすべてのネットワーク接続デバイスに存在する問題 (NAS) MyCloudOSを実行する 3. これは、会社でサポートされなくなったオペレーティングシステムです。.

関連している: QNAPNasデバイスのCVE-2020-2509およびCVE-2021-36195




「研究者のRadekDomanskiとPedroRibeiroは当初、昨年東京で開催されたPwn2Ownハッキングコンテストで調査結果を発表する予定でした。. しかし、イベントのほんの数日前にWesternDigitalがMyCloudOSをリリースしました 5, 彼らが見つけたバグを排除しました. その更新により、Pwn2Ownで競合する可能性が事実上無効になりました, これには、ターゲットデバイスでサポートされている最新のファームウェアまたはソフトウェアに対して機能するエクスプロイトが必要です。,ブライアンクレブスは報告しました.

それにもかかわらず, 数か月前、研究者たちは、攻撃者が悪意のあるバックドアを使用して脆弱なデバイスのファームウェアをリモートで更新できる一連の欠陥を発見した方法を紹介する詳細なYouTubeビデオを公開しました。. これは、パスワードが空白の低特権ユーザーアカウントを介して行われました。.

リサーチデュオによると, WesternDigitalは彼らの報告に決して返答しなかった. 「KrebsOnSecurityに提供された声明の中で, Western Digitalは、Pwn2OwnTokyoの後にレポートを受け取ったと述べました 2020, しかし、当時、彼らが報告した脆弱性は、My CloudOS5のリリースによってすでに修正されていました」とBrianKrebs氏は説明しました。.

WesternDigitalは何と言いましたか?

彼らは発見に関して何の質問もなかったので、彼らは研究者に連絡しなかったようです. これは最近のクレブスの声明の一部です 共有:

私たちがやってきたコミュニケーションは、関係する研究チームが脆弱性の詳細を公開する予定であることを確認し、質問がある場合は連絡するように依頼しました. 質問がなかったので返答しませんでした. それ以来, このような誤解を避けるために、プロセスを更新し、すべてのレポートに対応しています。. セキュリティ研究コミュニティからの報告を真摯に受け止め、受け取ったらすぐに調査を行います。.

同社は、ユーザーにMyCloudOS5ファームウェアに移行することを強くお勧めします. 「デバイスがMyCloudOSへのアップグレードの対象ではない場合 5, MyCloudOSをサポートする他のMyCloud製品の1つにアップグレードすることをお勧めします 5. 詳細情報を見つけることができます ここ.」

でも, ドマンスキーによると, ユーザーはそのOSに警告する必要があります 5 WesternDigitalのコアオペレーティングシステムを完全に書き直したものです, これは、OS3に組み込まれているより一般的な機能の一部が欠落していることを意味します.

複数の不幸な顧客への対応, Western Digitalは、データ回復サービスを提供することを約束しました. ArsTechnicaのDanGoodinによると, 「MyBookLiveのお客様は、MyCloudデバイスにアップグレードできるように、下取りプログラムの対象にもなります。」加えて, Western Digitalの広報担当者は、データ回復サービスは無料になると述べた。.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します