Les malheurs de Western Digital se poursuivent alors que les chercheurs découvrent des vulnérabilités dans les nouveaux produits –
Une semaine seulement après que des vulnérabilités logicielles aient laissé les utilisateurs de WD My Book Live avec des disques de stockage piratés et formatés, un exploit récemment découvert menace les appareils My Cloud de Western Digital. Cet exploit, qui permet aux pirates d’effectuer des commandes ou de briquer des unités NAS My Cloud, affecte tous les produits exécutant le logiciel Cloud OS 3, qui sont nombreux.
Les chercheurs Radek Domanski et Pedro Ribeiro ont découvert qu’ils pouvaient accéder à distance à un appareil My Cloud 3 en le pompant avec un firmware modifié. Ce n’est pas une tâche très difficile – oui, les appareils Cloud OS 3 nécessitent des informations de connexion pour effectuer une mise à jour du micrologiciel, mais Domanski et Ribeiro ont découvert que certains appareils NAS WD contiennent un utilisateur caché qui n’est pas protégé par un mot de passe.
Maintenant, il convient de mentionner que Cloud OS 3 de WD est un système d’exploitation obsolète. La plupart des utilisateurs d’unités NAS Western Digital ont la possibilité de passer à Cloud OS 5, qui protège contre plusieurs « classes d’attaques », selon Western Digital.
Western Digital conseille à tous ses clients de mettre à jour le système d’exploitation Cloud OS 5, comme il se doit. Mais beaucoup refusent de mettre à niveau car Cloud OS 5 manque de fonctionnalités disponibles dans Cloud OS 3, y compris la possibilité de gérer des fichiers sur différents périphériques NAS.
Les clients ont peut-être acheté leur unité My Cloud NAS pour des fonctionnalités manquantes dans Cloud OS 5, vous ne pouvez donc pas leur en vouloir d’avoir refusé la mise à niveau. D’autre part, vous pouvez blâmer Western Digital de ne pas avoir envoyé de correctifs de sécurité pour Cloud OS 3. Non seulement certains clients préfèrent l’ancien système d’exploitation, mais des appareils comme MyCloud EX2 et EX4 ne peuvent pas se mettre à jour vers le nouveau Cloud OS 5.
Si vous possédez un périphérique NAS exécutant Cloud OS 3, vous devriez probablement mordre la balle, passer au nouveau système d’exploitation et créer une sauvegarde supplémentaire pour vos données au cas où quelque chose de grave se produirait. On ne peut clairement pas faire confiance à Western Digital pour prendre la sécurité des appareils au sérieux, et les pirates informatiques recherchent probablement de nouvelles façons de prendre le contrôle des unités NAS Western Digital.
Source : Krebs sur la sécurité via The Verge