Af Torben B. Sørensen, 10/03/17
Sikkerhedsforskere har fundet flere alvorlige sikkerhedshuller i softwaren til My Cloud-boksene. Sårbarhederne giver mulighed for at omgå adgangskontrollen, afvikle kommandoer og få fat i data.
Ifølge sikkerhedsfirmaet SEC Consult er mindst følgende versioner af firmware og produkter sårbare:
2.21.126 (My Cloud), 2.11.157(My Cloud EX2), 2.21.126 (My Cloud EX2 Ultra), 2.11.157 (My Cloud EX4), 2.21.126 (My Cloud EX2100), 2.21.126 (My Cloud EX4100), 2.11.157 (My Cloud Mirror), 2.21.126 (My Cloud Mirror Gen2), 2.21.126 (My Cloud PR2100), 2.21.126 (My Cloud PR4100), 2.21.126 (My Cloud DL2100), 2.21.126 (My Cloud DL4100).
Firmaet anbefaler, at man tager enheden af nettet, indtil fejlene er rettet.
Western Digital oplyser, at virksomheden er ved at evaluere oplysningerne.
Anbefaling
Sæt ikke My Cloud-enheder på internettet, før fejlene er rettet.
Links
- Unauthenticated OS command injection & arbitrary file upload, SEC Consult
- Hacking the Western Digital MyCloud NAS, Exploitee.rs
- Top tip: Unplug your WD My Cloud boxen – now, artikel fra The Register
- Unpatched Western Digital Bugs Leave NAS Boxes Open to Attack, artikel fra Kaspersky Threatpost