Chỉ một tuần sau khi lỗ hổng phần mềm được để lại WD My Book Live người dùng có ổ lưu trữ bị tấn công và định dạng, một phương thức khai thác mới được phát hiện đang đe dọa các thiết bị My Cloud của Western Digital. Việc khai thác này, cho phép tin tặc thực hiện các lệnh hoặc gạch các đơn vị My Cloud NAS, ảnh hưởng đến tất cả các sản phẩm chạy phần mềm Cloud OS 3, trong đó có rất nhiều sản phẩm.
Các nhà nghiên cứu Radek Domanski và Pedro Ribeiro đã phát hiện ra rằng họ có thể truy cập từ xa vào thiết bị My Cloud 3 bằng cách bơm vào thiết bị này với chương trình cơ sở đã sửa đổi. Đây không phải là một nhiệm vụ quá khó khăn — vâng, các thiết bị Cloud OS 3 yêu cầu thông tin đăng nhập để thực hiện cập nhật chương trình cơ sở, nhưng Domanski và Ribeiro nhận thấy rằng một số thiết bị WD NAS chứa người dùng ẩn không được bảo vệ bằng mật khẩu.
Bây giờ, điều đáng nói là WD’s Cloud OS 3 là một hệ điều hành đã lỗi thời. Hầu hết mọi người sử dụng thiết bị Western Digital NAS đều có tùy chọn cập nhật lên Cloud OS 5, hệ điều hành này bảo vệ chống lại một số “lớp tấn công”, theo Western Digital .
Western Digital khuyên tất cả khách hàng của mình nên cập nhật lên hệ điều hành Cloud OS 5. Nhưng nhiều người từ chối nâng cấp vì Cloud OS 5 các tính năng còn thiếu khả dụng trong Cloud OS 3, bao gồm khả năng quản lý tệp trên các thiết bị NAS khác nhau.
Khách hàng có thể đã mua thiết bị My Cloud NAS của họ vì các tính năng bị thiếu trong Cloud OS 5, vì vậy bạn không thể trách họ từ chối nâng cấp. Mặt khác, bạn có thể đổ lỗi cho Western Digital vì đã không gửi các bản vá bảo mật cho Cloud OS 3. Không chỉ một số khách hàng thích hệ điều hành cũ hơn, mà các thiết bị như MyCloud EX2 và EX4 không thể cập nhật lên Hệ điều hành đám mây mới hơn 5.
Nếu bạn sở hữu một thiết bị NAS chạy Cloud OS 3, có lẽ bạn nên chấp nhận, nâng cấp lên hệ điều hành mới và tạo thêm một bản sao lưu cho dữ liệu của mình đề phòng trường hợp xấu xảy ra. Rõ ràng là Western Digital không thể được tin tưởng để coi trọng vấn đề bảo mật thiết bị và tin tặc có thể đang tìm kiếm những cách mới để giành quyền kiểm soát các đơn vị NAS của Western Digital.
Nguồn: Krebs on Security qua The Verge