Huis > Cyber ​​Nieuws > Ernstige RCE-kwetsbaarheid bedreigt de veiligheid van Western Digital-klanten
CYBER NEWS

Ernstige RCE-kwetsbaarheid bedreigt de veiligheid van Western Digital-klanten

door   |  Last Update:  |  0 Reacties  

westerse digitale zero-dayBeveiligingsonderzoekers meldden onlangs een kwetsbaarheid in Western Digital MyBook Live-netwerkopslagstations. Door de kwetsbaarheid kon een externe aanvaller de schijven wissen "dankzij een bug in een productlijn die het bedrijf niet meer ondersteunt in" 2015, evenals een voorheen onbekende zero-day-fout.”

Ernstige kwetsbaarheden in Western Digital MyCloud-netwerkopslagapparaten

Echter, de onderzoeker wees op een "soortgelijk serios zero-day" die zich in een veel bredere reeks nieuwere Western Digital MyCloud-netwerkopslagapparaten bevindt. Het enge is dat de bug niet zal worden opgelost voor veel klanten die niet kunnen of willen upgraden naar het nieuwste besturingssysteem.

De fout in kwestie is een RCE (uitvoering van externe code) probleem dat zich voordoet in alle Western Digital-apparaten die op het netwerk zijn aangesloten (NAS) die het MyCloud-besturingssysteem draaien 3. Dit is een besturingssysteem dat niet langer door het bedrijf wordt ondersteund.

Verwant: CVE-2020-2509 en CVE-2021-36195 in QNAP Nas-apparaten




“Onderzoekers Radek Domanski en Pedro Ribeiro waren oorspronkelijk van plan om hun bevindingen vorig jaar te presenteren op de Pwn2Own-hackwedstrijd in Tokio.. Maar slechts enkele dagen voor het evenement bracht Western Digital MyCloud OS uit 5, die de bug die ze gevonden hebben geëlimineerd. Die update maakte hun kansen om te concurreren in Pwn2Own effectief teniet, waarvoor exploits nodig zijn om te werken tegen de nieuwste firmware of software die wordt ondersteund door het beoogde apparaat,” meldde Brian Krebs.

Niettemin, enkele maanden geleden publiceerden de onderzoekers een gedetailleerde YouTube-video waarin ze lieten zien hoe ze een reeks fouten ontdekten waardoor aanvallers op afstand de firmware van een kwetsbaar apparaat konden updaten met een kwaadaardige achterdeur. Dit werd gedaan via een gebruikersaccount met lage privileges met een leeg wachtwoord.

Volgens het onderzoeksduo, Western Digital heeft nooit op hun rapporten gereageerd. “In een verklaring aan KrebsOnSecurity, Western Digital zei dat het hun rapport ontving na Pwn2Own Tokyo 2020, maar dat op het moment dat de kwetsbaarheid die ze meldden al was verholpen door de release van My Cloud OS 5”, legt Brian Krebs uit.

Wat zei Western Digital??

Het lijkt erop dat ze geen contact hebben opgenomen met de onderzoekers omdat ze geen vragen hadden over de ontdekking. Dit maakt onlangs deel uit van de verklaring van het bedrijf Krebsbs gedeelde:

De communicatie die op onze weg kwam, bevestigde dat het betrokken onderzoeksteam van plan was om details van de kwetsbaarheid vrij te geven en ons vroeg om contact met hen op te nemen als er vragen waren. We hadden geen vragen, dus we hebben niet gereageerd. Vanaf dat moment, we hebben ons proces bijgewerkt en reageren op elke melding om dergelijke miscommunicatie opnieuw te voorkomen. We nemen meldingen van de veiligheidsonderzoeksgemeenschap zeer serieus en voeren onderzoeken uit zodra we ze ontvangen.

Het bedrijf raadt zijn gebruikers ten zeerste aan om over te stappen op de My Cloud OS5-firmware. “Als uw apparaat niet in aanmerking komt voor een upgrade naar My Cloud OS 5, we raden u aan te upgraden naar een van onze andere My Cloud-aanbiedingen die My Cloud OS ondersteunen 5. Meer informatie is te vinden hier."

Echter, volgens Domanski, gebruikers moeten worden gewaarschuwd dat OS 5 is een volledige herschrijving van het kernbesturingssysteem van Western Digital, wat betekent dat enkele van de meer populaire functies en functionaliteiten die in OS3 zijn ingebouwd ontbreken.

Als reactie op meerdere ontevreden klanten, Western Digital heeft de belofte gedaan om gegevenshersteldiensten te leveren. Volgens Dan Goodin van Ars Technica, "MyBook Live-klanten komen ook in aanmerking voor een inruilprogramma, zodat ze kunnen upgraden naar MyCloud-apparaten." Daarnaast, een woordvoerster van Western Digital zei ook dat de gegevensherstelservice gratis zal zijn.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Digitale Coin Tracker “Virus” - How to Get Rid van It en Stop Advertenties Dit artikel is bedoeld om uit te leggen wat de digitale munt is...
  2. Cybersecurity Guide: Hoe maak je een Secure Digital Transformation Succes behalen als eigenaar van een klein bedrijf is veel...
  3. Zero Day Kwetsbaarheid Bedreigt Microsoft Windows Security In vrijgegeven gisteren een beveiligingsadvies, Microsoft has warned about...
  4. NFT-beveiliging en risico's: Hoe veilig zijn uw digitale activa? Er is tegenwoordig bijna niemand die nog nooit van NFT's heeft gehoord. Echter,...
  5. Firmware Malware Scan Toegevoegd aan VirusTotal's set van tools Hebt u gratis service van Google VirusTotal gebruikt? When you have...
  6. Verwijder Digital Coin Tracker Redirect This article will aid you to remove Digital Coin Tracker...
  7. Welke is de beste BitCoin Hardware Wallet in 2018 (Veiligheid, Ondersteuning, Kenmerken) 1 2 3 4 5 6 7 8 9 10...
  8. Hoe een trage Mac sneller te maken: Top 10 Beste methoden Deze gids is gemaakt om u het beste te laten zien...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens