Western Digital vient de déployer une mise à jour du système d’exploitation de My Cloud qui résout une dangereuse vulnérabilité d’accès à distance. Tous les utilisateurs de My Cloud doivent installer la mise à jour du firmware (version 5.19.117) pour se défendre contre les tentatives de piratage à distance.
Comme le rapporte Bleeping Computer, les participants au concours de piratage Pwn2Own 2021 ont découvert comment exécuter du code à distance sur les appareils My Cloud par le biais du logiciel « Netatalk Service » inclus. Cette vulnérabilité, appelée CVE-2022-23121, fonctionne sans authentification de l’utilisateur. Comme la vulnérabilité My Book Live de l’année dernière, elle semble très facile à exécuter.
Les pirates qui accèdent à distance à votre disque de stockage en nuage peuvent effacer ou copier ses données. Ils peuvent également télécharger des données, y compris des logiciels malveillants, sur votre réseau. C’est pourquoi il est important de procéder à une mise à jour dès maintenant.
Voici les appareils qui peuvent être impactés par cette vulnérabilité :
- My Cloud PR2100
- Mon nuage PR4100
- My Cloud EX2 Ultra
- My Cloud EX 4100
- My Cloud Mirror Gen 2
- My Cloud EX2100
- Mon nuage DL2100
- Mon nuage DL4100
La mise à jour de votre lecteur désactivera Netatalk Service, qui est une solution open-source pour l’Apple Filing Protocol (AFP). En gros, elle permet aux systèmes d’exploitation de type Unix d’effectuer des tâches de serveur de fichiers pour les Mac. (Si vous êtes un développeur qui utilise Netatalk Service pour une application quelconque, vous devez mettre à jour la dernière version maintenant, car elle corrige la vulnérabilité CVE-2022-23121).
Notez que Western Digital offre toujours des coupons aux clients dont les disques durs ont été abandonnés. Ces coupons expirent le 15 avril, donc si vous avez un vieux périphérique de stockage en nuage WD chez vous, vous devriez contacter la société.
Source : Western Digital via Bleeping Computer
