Beveiligingsonderzoekers meldden onlangs een kwetsbaarheid in Western Digital MyBook Live-netwerkopslagstations. Door de kwetsbaarheid kon een externe aanvaller de schijven wissen "dankzij een bug in een productlijn die het bedrijf niet meer ondersteunt in" 2015, evenals een voorheen onbekende zero-day-fout.”
Ernstige kwetsbaarheden in Western Digital MyCloud-netwerkopslagapparaten
Echter, de onderzoeker wees op een "soortgelijk serios zero-day" die zich in een veel bredere reeks nieuwere Western Digital MyCloud-netwerkopslagapparaten bevindt. Het enge is dat de bug niet zal worden opgelost voor veel klanten die niet kunnen of willen upgraden naar het nieuwste besturingssysteem.
De fout in kwestie is een RCE (uitvoering van externe code) probleem dat zich voordoet in alle Western Digital-apparaten die op het netwerk zijn aangesloten (NAS) die het MyCloud-besturingssysteem draaien 3. Dit is een besturingssysteem dat niet langer door het bedrijf wordt ondersteund.
Verwant: CVE-2020-2509 en CVE-2021-36195 in QNAP Nas-apparaten
“Onderzoekers Radek Domanski en Pedro Ribeiro waren oorspronkelijk van plan om hun bevindingen vorig jaar te presenteren op de Pwn2Own-hackwedstrijd in Tokio.. Maar slechts enkele dagen voor het evenement bracht Western Digital MyCloud OS uit 5, die de bug die ze gevonden hebben geëlimineerd. Die update maakte hun kansen om te concurreren in Pwn2Own effectief teniet, waarvoor exploits nodig zijn om te werken tegen de nieuwste firmware of software die wordt ondersteund door het beoogde apparaat,” meldde Brian Krebs.
Niettemin, enkele maanden geleden publiceerden de onderzoekers een gedetailleerde YouTube-video waarin ze lieten zien hoe ze een reeks fouten ontdekten waardoor aanvallers op afstand de firmware van een kwetsbaar apparaat konden updaten met een kwaadaardige achterdeur. Dit werd gedaan via een gebruikersaccount met lage privileges met een leeg wachtwoord.
Volgens het onderzoeksduo, Western Digital heeft nooit op hun rapporten gereageerd. “In een verklaring aan KrebsOnSecurity, Western Digital zei dat het hun rapport ontving na Pwn2Own Tokyo 2020, maar dat op het moment dat de kwetsbaarheid die ze meldden al was verholpen door de release van My Cloud OS 5”, legt Brian Krebs uit.
Wat zei Western Digital??
Het lijkt erop dat ze geen contact hebben opgenomen met de onderzoekers omdat ze geen vragen hadden over de ontdekking. Dit maakt onlangs deel uit van de verklaring van het bedrijf Krebsbs gedeelde:
De communicatie die op onze weg kwam, bevestigde dat het betrokken onderzoeksteam van plan was om details van de kwetsbaarheid vrij te geven en ons vroeg om contact met hen op te nemen als er vragen waren. We hadden geen vragen, dus we hebben niet gereageerd. Vanaf dat moment, we hebben ons proces bijgewerkt en reageren op elke melding om dergelijke miscommunicatie opnieuw te voorkomen. We nemen meldingen van de veiligheidsonderzoeksgemeenschap zeer serieus en voeren onderzoeken uit zodra we ze ontvangen.
Het bedrijf raadt zijn gebruikers ten zeerste aan om over te stappen op de My Cloud OS5-firmware. “Als uw apparaat niet in aanmerking komt voor een upgrade naar My Cloud OS 5, we raden u aan te upgraden naar een van onze andere My Cloud-aanbiedingen die My Cloud OS ondersteunen 5. Meer informatie is te vinden hier."
Echter, volgens Domanski, gebruikers moeten worden gewaarschuwd dat OS 5 is een volledige herschrijving van het kernbesturingssysteem van Western Digital, wat betekent dat enkele van de meer populaire functies en functionaliteiten die in OS3 zijn ingebouwd ontbreken.
Als reactie op meerdere ontevreden klanten, Western Digital heeft de belofte gedaan om gegevenshersteldiensten te leveren. Volgens Dan Goodin van Ars Technica, "MyBook Live-klanten komen ook in aanmerking voor een inruilprogramma, zodat ze kunnen upgraden naar MyCloud-apparaten." Daarnaast, een woordvoerster van Western Digital zei ook dat de gegevensherstelservice gratis zal zijn.