Pesquisadores de segurança relataram recentemente uma vulnerabilidade nas unidades de armazenamento de rede Western Digital MyBook Live. A vulnerabilidade permitiu que um atacante remoto limpasse as unidades “graças a um bug em uma linha de produtos que a empresa deixou de oferecer suporte em 2015, bem como uma falha de dia zero anteriormente desconhecida. ”
Vulnerabilidades graves em dispositivos de armazenamento de rede MyCloud da Western Digital
Contudo, o pesquisador apontou um "similar serios zero-day" localizado em um ranger muito mais amplo de dispositivos de armazenamento de rede MyCloud Western Digital mais recentes. O assustador é que o bug não será corrigido para muitos clientes que não podem ou não querem atualizar para o sistema operacional mais recente.
A falha em questão é um RCE (execução remota de código) problema que reside em todos os dispositivos conectados à rede Western Digital (NAS) que executam o sistema operacional MyCloud 3. Este é um sistema operacional que não é mais compatível com a empresa.
relacionado: CVE-2020-2509 e CVE-2021-36195 em dispositivos QNAP Nas
“Os pesquisadores Radek Domanski e Pedro Ribeiro planejaram originalmente apresentar suas descobertas na competição de hacking Pwn2Own em Tóquio no ano passado. Mas poucos dias antes do evento, a Western Digital lançou o MyCloud OS 5, que eliminou o bug que encontraram. Essa atualização anulou efetivamente suas chances de competir em Pwn2Own, que requer exploits para funcionar com o firmware ou software mais recente compatível com o dispositivo de destino,”Brian Krebs relatou.
Não obstante, alguns meses atrás, os pesquisadores publicaram um vídeo detalhado no YouTube mostrando como eles descobriram uma cadeia de falhas que permite que os invasores atualizem remotamente o firmware de um dispositivo vulnerável com um backdoor malicioso. Isso foi feito por meio de uma conta de usuário de baixo privilégio com uma senha em branco.
De acordo com a dupla de pesquisa, Western Digital nunca respondeu aos seus relatórios. “Em uma declaração fornecida a KrebsOnSecurity, Western Digital disse que recebeu seu relatório após Pwn2Own Tokyo 2020, mas que na época a vulnerabilidade relatada já havia sido corrigida com o lançamento do My Cloud OS 5 ”, explicou Brian Krebs.
O que a Western Digital disse?
Parece que eles não contataram os pesquisadores porque não tinham dúvidas sobre a descoberta. Isso faz parte da declaração da empresa Krebs recentemente compartilhado:
A comunicação que recebemos confirmou que a equipe de pesquisa envolvida planejava divulgar detalhes da vulnerabilidade e nos pediu para contatá-los em caso de dúvidas. Não tínhamos perguntas, por isso não respondemos. Desde então, atualizamos nosso processo e respondemos a todos os relatórios para evitar qualquer falha de comunicação como esta novamente. Levamos os relatórios da comunidade de pesquisa de segurança muito a sério e conduzimos as investigações assim que os recebemos.
A empresa recomenda fortemente que seus usuários migrem para o firmware My Cloud OS5. “Se o seu dispositivo não for elegível para atualização para o My Cloud OS 5, recomendamos que você atualize para uma de nossas outras ofertas do My Cloud que oferecem suporte ao sistema operacional do My Cloud 5. Mais informações podem ser encontradas aqui.”
Contudo, de acordo com Domanski, os usuários devem ser avisados de que o sistema operacional 5 é uma reescrita completa do sistema operacional central da Western Digital, o que significa que alguns dos recursos e funcionalidades mais populares integrados ao OS3 estão faltando.
Em resposta a vários clientes insatisfeitos, Western Digital prometeu fornecer serviços de recuperação de dados. De acordo com Dan Goodin da Ars Technica, “Os clientes do MyBook Live também serão elegíveis para um programa de troca para que possam atualizar para os dispositivos MyCloud.” Além disso, uma porta-voz da Western Digital também disse que o serviço de recuperação de dados será gratuito.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: