La cyber-sécurité des chercheurs ont découvert une faille d’exécution de code à distance dans Western Digital stockage en réseau (NAS) appareils qui exécutent MyCloud OS 3, un système d’exploitation qui n’est plus pris en charge par l’entreprise.
Rapport sur les découvertes des chercheurs Radek Domanski et Pedro Ribeiro, Brian Krebs écrit que WD prétend que la vulnérabilité a été automatiquement corrigée l’année dernière avec la sortie de MyCloud OS 5.
Mais surtout, Krebs note que dans sa correspondance, WD a ignoré les questions de savoir si la faille avait déjà été corrigée dans MyCloud OS 3.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et vous pouvez également choisir de participer au tirage au sort pour gagner un bon Amazon de 100 $ ou l’un des cinq abonnements ExpressVPN d’un an.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
Corriger le bogue dans l’ancienne version est important, car selon WD déclaration de soutien tous les appareils MyCloud OS 3 ne sont pas éligibles pour la mise à niveau vers MyCloud OS 5.
Sommaire
Anciennes vulnérabilités
Selon les chercheurs, qui ont a posté une vidéo détaillant la vulnérabilité, ils ont réussi à mettre à jour le micrologiciel d’un appareil équipé de MyCloud OS 3 avec une porte dérobée malveillante via un utilisateur à faible privilège qui a un mot de passe vide.
Les chercheurs ont affirmé que WD n’avait jamais répondu à leur rapport sur la vulnérabilité, bien que la société, dans sa réponse à Krebs, prétende que c’était à cause d’un problème de communication.
Dans une déclaration à Comparitech l’année dernière, WD a déclaré que les utilisateurs qui ne peuvent pas mettre à jour vers MyCloud OS 5 doivent désactiver l’accès au tableau de bord à distance à l’appareil, rapporte Le bord, laissant entendre que la société n’a jamais réussi à résoudre le problème.
Pendant ce temps, les chercheurs ont publié un correctif pour la vulnérabilité dans MyCloud OS 3, et WD dit à Krebs qu’il est au courant que des tiers proposent des correctifs de sécurité pour le système d’exploitation officiellement non pris en charge.
Ces derniers temps, WD a eu des accrochages malheureux avec d’anciennes vulnérabilités dans des appareils non pris en charge. La semaine dernière, un vulnérabilité non corrigée vieille de dix ans conduit plusieurs utilisateurs à perdre leurs données car leur Mon livre Les périphériques NAS ont été réinitialisés en usine dans un malware campagne.