Kolejna poważna luka w urządzeniach NAS od WD. Hakerzy mogą wgrać zmodyfikowane oprogramowanie

Kolejna poważna luka w urządzeniach NAS od WD. Hakerzy mogą wgrać zmodyfikowane oprogramowanie

Kolejna luka w zabezpieczeniach została odkryta w urządzeniach WD NAS. Tym razem usterka dotyczy urządzeń z systemem My Cloud OS 3 i umożliwia hakerom dostęp do urządzenia i zainstalowanie zmodyfikowanego oprogramowania układowego zdolnego do wykonywania poleceń, blokowania urządzenia i oczywiście przekazywania danych. Badacze bezpieczeństwa Pedro Ribeiro i Radek Domański szczegółowo opisali lukę w zabezpieczeniach i zdalnie aktualizowali urządzenia WD NAS za pomocą zmodyfikowanego oprogramowania układowego, co zademonstrowali na filmie. Zazwyczaj aktualizacje oprogramowania układowego są dostępne tylko dla uwierzytelnionych użytkowników. Jednak badacze odkryli, że NAS wydaje się mieć użytkownika z pustym hasłem, co w niektórych przypadkach pozwoliło uwierzytelnić i zainstalować zmodyfikowane oprogramowanie.

W My Cloud OS 3 wykryto lukę, która pozwala na instalację zmodyfikowanego oprogramowania układowego. WD nie planuje łatać podatności, zalecając przesiadkę na My Cloud OS 5, lub zmianę sprzętu na nowszy.

Co gorsza, WD radzi w tej sprawie zasadniczo, aby zaktualizować system do My Cloud OS 5 lub kupić urządzenie z My Cloud OS 5. Firma opisuje My Cloud OS 5 jako "główną i podstawową wersję zabezpieczeń", która zmienia architekturę oprogramowania My Cloud i broni przed "powszechnymi klasami ataków". Nawet jeśli system My Cloud OS 5 jest tak bezpieczny, jak twierdzi WD, nie jest to opcja dla wszystkich użytkowników. Część unikała aktualizacji do My Cloud OS 5, ponieważ brakuje w nim kilku funkcji  z My Cloud OS 3. W przypadku innych osób aktualizacja My Cloud OS 5 nie jest dostępna dla ich urządzeń. Zaktualizowane oprogramowanie nie oferuje wsparcia dla MyCloud EX2, EX4 lub niektórych wersji My Cloud i My Cloud Mirror.

Niestety, firma WD dała również jasno do zrozumienia, że ​​nie planuje aktualizować systemu My Cloud OS 3 za pomocą poprawek bezpieczeństwa, co powoduje, że wielu właścicieli serwerów NAS została zmuszona do migracji lub zakupu nowego urządzenia. Badacze sami stworzyli i udostępnili niestandardową łatkę bezpieczeństwa, ale należy ją ponownie instalować na urządzeniu przy każdym ponownym uruchomieniu, co jest dość uciążliwe. Niestety, osoby które z różnych powodów nie mogą dokonać aktualizacji do OS5, powinny rozważyć zmianę sprzętu.

Pokaż / Dodaj komentarze do: Kolejna poważna luka w urządzeniach NAS od WD. Hakerzy mogą wgrać zmodyfikowane oprogramowanie

 0