Western Digital corrigió tres vulnerabilidades críticas, una con una clasificación de gravedad de 9.8 y otra con 9.0, que hacen posible que los piratas informáticos roben datos o secuestren de forma remota dispositivos de almacenamiento que ejecutan la versión 3 del sistema operativo My Cloud de la compañía.
CVE-2021-40438, como se rastrea una de las vulnerabilidades, permite a los atacantes remotos sin autenticación hacer que los dispositivos reenvíen solicitudes a los servidores que elijan los atacantes. Al igual que las otras dos fallas que corrigió Western Digital, reside en las versiones 2.4.48 y anteriores del servidor Apache HTTP. Los atacantes ya lo han explotado con éxito para robar contraseñas hash de un sistema vulnerable, y código de explotación está fácilmente disponible.
La vulnerabilidad con una calificación de gravedad de 9 sobre un máximo de 10 se deriva de una Falsificación de solicitud del lado del servidor. Esta clase de error permite a los atacantes canalizar solicitudes maliciosas a sistemas internos que están protegidos por firewalls o que no son accesibles fuera de una red privada. Funciona al inducir a las aplicaciones del lado del servidor a realizar solicitudes HTTP a un dominio arbitrario elegido por el atacante.
CVE-2021-39275, mientras tanto, tiene una calificación de gravedad de 9.8 de un puntaje posible de 10. Permite a atacantes remotos bloquear sistemas vulnerables y posiblemente ejecutar código malicioso. Dos vulnerabilidades adicionales:CVE-2021-36160 y CVE-2021-34798—hacer posible bloquear remotamente sistemas vulnerables.
Apache lanzó parches para las vulnerabilidades El pasado octubre
Muchas personas suelen tardar en parchear las vulnerabilidades en los dispositivos periféricos, como los dispositivos de almacenamiento conectados a la red, que ejecutan el sistema operativo propietario My Cloud de Western Digital. Eso sería un error en este caso. En junio, Western Digital aconsejó a los usuarios de un producto diferente, My Book Live, que desconectaran inmediatamente los dispositivos de Internet. Mientras tanto, la empresa respondió a lo que luego resultó ser la explotación masiva de una vulnerabilidad de día cero.
El año pasado, Western Digital estableció un cronograma para la eliminación gradual del uso de My Cloud OS 3. A principios de esta semana, los usuarios del sistema operativo anterior con dispositivos compatibles con la versión 5 del sistema operativo actual debían actualizar a la nueva versión. Si no lo hicieran, los usuarios ya no podrían conectarse a los dispositivos a través de Internet, recibir actualizaciones de seguridad u obtener soporte técnico. El 15 de abril, el soporte para la versión 3 finalizará por completo. Los dispositivos que no sean compatibles con la versión 5 para entonces perderán el acceso remoto, lo que significa que solo podrán acceder a los archivos a través de redes locales.
“Recomendamos que todos los usuarios elegibles actualicen a My Cloud OS 5 de inmediato para beneficiarse de las últimas correcciones de seguridad”, dijo Western Digital en un comunicado. consultivo. Las instrucciones para actualizar son aquí.
Listado de imágenes por sigue estas instrucciones / Flickr