Les propriétaires d’appareils Western Digital Network Attached Storage (NAS) peuvent avoir un autre problème de sécurité à l’horizon. Après les failles exploitées par les hackers Effacer à distance les appareils My Book LiveJournaliste de sécurité Brian Krebs Publier un rapport Une autre vulnérabilité zero-day affecte les produits Western Digital exécutant le logiciel My Cloud OS3 de l’entreprise. De plus, il ne semble pas qu’il y aura de correctif officiel pour ceux qui ne passeront pas à une solution de stockage plus récente.
Plus tôt dans l’année, les chercheurs en sécurité Radek Domanski et Pedro Ribeiro ont découvert une série de vulnérabilités qui permettent à un acteur malveillant de mettre à jour à distance un appareil My Cloud OS3 pour ajouter une porte dérobée. Les deux disent n’avoir entendu aucune réponse de la société lorsqu’ils ont essayé de les contacter au sujet de la vulnérabilité. Western Digital attribue sa réactivité (ou son absence) à l’une de ses politiques passées.
« Les communications qui nous sont parvenues ont confirmé que l’équipe de recherche concernée prévoyait de divulguer les détails de la vulnérabilité et nous a demandé de les contacter pour toute question », a déclaré un porte-parole de l’entreprise à Krebs. Nous n’avions pas de questions donc nous n’avons pas répondu. Depuis lors, nous avons mis à jour notre processus et répondu à chaque signalement afin d’éviter à nouveau tout malentendu comme celui-ci. »
Bien que la faille ne soit pas trouvée dans le nouveau système d’exploitation My Cloud OS 5 de Western Digital, il n’est pas clair si la société l’a corrigée dans My Cloud OS3. De plus, il ne prévoit plus de prendre en charge les logiciels hérités. « Nous ne fournirons aucune autre mise à jour de sécurité du micrologiciel My Cloud OS3 », a déclaré Western Digital lors d’une conférence de presse. page d’assistance daté du 12 mars 2021. « Nous encourageons fortement le passage au micrologiciel My Cloud OS 5. Si votre appareil n’est pas éligible pour la mise à niveau vers My Cloud OS 5, nous vous recommandons de passer à l’une des autres offres My Cloud qui prennent en charge My Cloud. Cloud OS 5. »
Lorsqu’Engadget a contacté Western Digital, un porte-parole de l’entreprise nous a dit : « Il existe un correctif pour cette vulnérabilité – nous avons « corrigé » OS3 avec OS 5. » Ils ont ajouté : » My Cloud OS 5 est une version de sécurité majeure qui fournit un renouvellement architectural de notre ancien firmware My Cloud. Tous les produits My Cloud actuellement sous support actif sont éligibles pour la mise à niveau My Cloud OS 5 et nous recommandons à tous les utilisateurs mise à niveau pour profiter des derniers correctifs de sécurité dès que possible. « .
Si vous possédez un appareil que vous ne pouvez pas mettre à jour vers My Cloud OS 5, vous pouvez Télécharger le patch Domanski et Ribiro se développent. Une chose à noter est que vous devrez le réappliquer à chaque redémarrage de votre appareil. Vous pouvez également protéger votre disque My Cloud NAS en limitant son accès à Internet.
Mise à jour 18h35 HE: Commentaire ajouté de Western Digital.
Tous les produits recommandés par Engadget sont triés sur le volet par notre équipe éditoriale, indépendamment de la maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.
