Western digital
Bara en vecka efter att mjukvarusårbarheter lämnade WD My Book Live -användare med hackade och formaterade lagringsenheter, hotar en nyupptäckt exploatering Western Digitals My Cloud-enheter. Denna exploatering, som gör det möjligt för hackare att utföra kommandon eller mura upp My Cloud NAS-enheter, påverkar alla produkter som kör programvaran Cloud OS 3, som det finns många av.
Forskarna Radek Domanski och Pedro Ribeiro upptäckte att de kunde fjärråtkomst till en My Cloud 3-enhet genom att pumpa den med modifierad firmware. Det här är inte en särskilt svår uppgift – ja, Cloud OS 3-enheter kräver inloggningsuppgifter för att utföra en firmwareuppdatering, men Domanski och Ribeiro fann att vissa WD NAS-enheter innehåller en dold användare som inte är skyddad av ett lösenord.
Nu är det värt att nämna att WD:s Cloud OS 3 är ett föråldrat operativsystem. De flesta som använder Western Digital NAS-enheter har möjlighet att uppdatera till Cloud OS 5, som försvarar sig mot flera "klasser av attacker", enligt Western Digital.
Western Digital råder alla sina kunder att uppdatera till operativsystemet Cloud OS 5, som det ska. Men många vägrar att uppgradera eftersom Cloud OS 5 saknar funktioner som är tillgängliga i Cloud OS 3, inklusive möjligheten att hantera filer över olika NAS-enheter.
Kunder kan ha köpt sin My Cloud NAS-enhet för funktioner som saknas i Cloud OS 5, så du kan inte klandra dem för att de vägrar att uppgradera. Å andra sidan kan du skylla på Western Digital för att inte skicka ut säkerhetskorrigeringar för Cloud OS 3. Vissa kunder föredrar inte bara det äldre operativsystemet, utan enheter som MyCloud EX2 och EX4 kan inte uppdateras till det nyare Cloud OS 5.
Om du äger en NAS-enhet som kör Cloud OS 3, bör du förmodligen bita ihop, uppgradera till det nya operativsystemet och skapa en extra säkerhetskopia för dina data ifall något dåligt skulle hända. Det är uppenbart att Western Digital inte kan lita på att de tar enhetssäkerhet på allvar, och hackare letar sannolikt efter nya sätt att få kontroll över Western Digital NAS-enheter.
Källa: Krebs on Security via The Verge