Slechts een week nadat softwarekwetsbaarheden waren verdwenen WD My Book Live-gebruikers met gehackte en geformatteerde opslagschijven, vormt een nieuw ontdekte exploit een bedreiging voor de My Cloud-apparaten van Western Digital. Deze exploit, die hackers in staat stelt opdrachten uit te voeren of My Cloud NAS-eenheden te blokkeren, treft alle producten met Cloud OS 3-software, waarvan er veel zijn.
Onderzoekers Radek Domanski en Pedro Ribeiro ontdekten dat ze op afstand toegang konden krijgen tot een My Cloud 3-apparaat door er aangepaste firmware op te pompen. Dit is geen erg moeilijke taak. Ja, Cloud OS 3-apparaten hebben inloggegevens nodig om een firmware-update uit te voeren, maar Domanski en Ribeiro ontdekten dat sommige WD NAS-apparaten een verborgen gebruiker bevatten die niet wordt beschermd door een wachtwoord.
Het is vermeldenswaard dat WD’s Cloud OS 3 een verouderd besturingssysteem is. De meeste mensen die Western Digital NAS-eenheden gebruiken, hebben de mogelijkheid om te updaten naar Cloud OS 5, dat bescherming biedt tegen verschillende”klassen van aanvallen”, volgens Western Digital.
Western Digital adviseert al haar klanten om te updaten naar het Cloud OS 5-besturingssysteem, zoals het hoort. Maar velen weigeren te upgraden omdat Cloud OS 5 ontbrekende functies die beschikbaar zijn in Cloud OS 3, inclusief de mogelijkheid om bestanden op verschillende NAS-apparaten te beheren.
Klanten hebben hun My Cloud NAS-eenheid misschien gekocht vanwege functies die ontbreken in Cloud OS 5, dus u kunt ze niet kwalijk nemen dat ze weigeren te upgraden. Aan de andere kant kun je Western Digital de schuld geven van het niet verzenden van beveiligingspatches voor Cloud OS 3. Niet alleen geven sommige klanten de voorkeur aan het oudere besturingssysteem, maar apparaten zoals de MyCloud EX2 en EX4 kunnen niet updaten naar de nieuwer Cloud OS 5.
Als u een NAS-apparaat met Cloud OS 3 bezit, moet u waarschijnlijk doorbijten, upgraden naar het nieuwe besturingssysteem en een extra back-up maken voor uw gegevens voor het geval er iets ergs gebeurt. Western Digital kan duidelijk niet worden vertrouwd om apparaatbeveiliging serieus te nemen, en hackers zijn waarschijnlijk op zoek naar nieuwe manieren om controle te krijgen over Western Digital NAS-eenheden.
Bron: Krebs on Security via The Verge