AGGIORNARE: Western Digital ha risposto alla nostra richiesta di dichiarazione, che abbiamo pubblicato di seguito.

I ricercatori di sicurezza di Securify hanno scoperto una vulnerabilità sui box My Cloud NAS di Western Digital che possono garantire agli attaccanti il ​​controllo completo sui loro contenuti. L'exploit richiede una rete locale o l'accesso a Internet a un dispositivo My Cloud per essere eseguito e ignora i normali requisiti di accesso della scatola NAS.

Chiamato CVE-2018-17153, il bug potrebbe anche fornire ai dirottatori la possibilità di eseguire comandi che in genere richiederebbero privilegi amministrativi. Una volta ottenuto l'accesso, gli hacker possono visualizzare, copiare, eliminare o sovrascrivere qualsiasi file memorizzato sul dispositivo.

Il tuo cloud può essere pwned

Secondo Securify, "Il modulo CGI network_mgr.cgi contiene un comando chiamato cgi_get_ipv6 che avvia una sessione di amministrazione che è legata all'indirizzo IP dell'utente che effettua la richiesta quando viene invocato con il parametro flag uguale a 1. Avvio successivo di comandi che verrebbero normalmente richiedono i privilegi di amministratore sono ora autorizzati se un attaccante imposta il nome utente = admin biscotto ".

Passando attraverso il gergo, questo significa essenzialmente che WD My Cloud imposta una sessione di amministrazione collegata a un indirizzo IP che solleva la vulnerabilità. Semplicemente aggiungendo il cookie nome utente = admin a una richiesta CGI HTTP inviata tramite una rete locale o una connessione Internet, chiunque può accedere al contenuto archiviato nella casella NAS.

Securify ha sollevato il problema con Western Digital ad aprile, quando la falla è stata scoperta per la prima volta, ma non è mai stata ascoltata dalla società. Dopo cinque mesi di silenzio da parte di WD, Securify ha deciso di rivelare pubblicamente la vulnerabilità.

Abbiamo contattato Western Digital per un commento e la società ha confermato che un aggiornamento del firmware verrà implementato a breve per risolvere il problema. "Stiamo concludendo un aggiornamento del firmware programmato che risolverà il problema segnalato", ha risposto WD in un'email. "Ci aspettiamo di pubblicare l'aggiornamento sul nostro sito di supporto tecnico su https://support.wdc.com/ entro poche settimane."

  • Leggi di più: Revisione WD My Passport Wireless SSD