Western Digital elimna i dispositivi NAS obsoleti da My Cloud
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 19 Giugno 2023
Tags: #nas, #MyCloud, #WD
Tags: #nas, #MyCloud, #WD
Western Digital elimna i dispositivi NAS obsoleti da My Cloud
Western Digital avverte i proprietari dei dispositivi della serie My Cloud che non possono più connettersi ai servizi cloud a partire dal 15 giugno 2023, se i dispositivi non vengono aggiornati all'ultimo firmware, versione 5.26.202.
Il produttore di storage ha deciso di adottare questa misura drastica per proteggere i propri utenti dagli attacchi informatici, poiché l'ultimo firmware risolve una vulnerabilità sfruttabile da remoto che può essere sfruttata per eseguire l'esecuzione di codice non autenticato.
"I dispositivi con firmware inferiore a 5.26.202 non saranno in grado di connettersi ai servizi cloud Western Digital a partire dal 15 giugno 2023 e gli utenti non saranno in grado di accedere ai dati sul proprio dispositivo tramite mycloud.com e l'app mobile My Cloud OS 5 fino a quando aggiornano il dispositivo all'ultimo firmware", spiega un bollettino di supporto di Western Digital.
"Gli utenti possono continuare ad accedere ai propri dati tramite l'accesso locale."
My Cloud è un servizio che collega i dispositivi NAS (Network Attached Storage) al servizio cloud di Western Digital, consentendo agli utenti di archiviare, accedere, eseguire il backup e condividere contenuti multimediali dal Web.
Detto questo, l'accesso non autorizzato ai dispositivi o agli archivi multimediali degli utenti potrebbe comportare gravi violazioni dei dati e della privacy.
Inoltre, l'esecuzione di codice arbitrario può persino portare alla distribuzione di ransomware sui dispositivi, che abbiamo visto colpire i dispositivi NAS più volte nel recente passato.
Western Digital ha avvisato i proprietari che i seguenti dispositivi devono aggiornare il proprio firmware alle versioni designate, altrimenti non possono più accedere a My Cloud:
- My Cloud PR2100 – 5.26.202 o successivo
- My Cloud PR4100 – 5.26.202 o successivo
- My Cloud EX4100 – 5.26.202 o successivo
- My Cloud EX2 Ultra – 5.26.202 o successivo
- My Cloud Mirror G2 – 5.26.202 o successivo
- My Cloud DL2100 – 5.26.202 o successivo
- My Cloud DL4100 – 5.26.202 o successivo
- My Cloud EX2100 – 5.26.202 o successivo
- My Cloud – 5.26.202 o successivo
- WD Cloud – 5.26.202 o successivo
- My Cloud Home – 9.4.1-101 o successivo
- My Cloud Home Duo – 9.4.1-101 o successivo
- SanDisk ibi – 9.4.1-101 o successivo
Le versioni del firmware di cui sopra sono state rilasciate il 15 maggio 2023, risolvendo le seguenti quattro vulnerabilità:
CVE-2022-36327: Difetto di attraversamento del percorso di gravità critica (CVSS v3.1: 9.8) che consente a un utente malintenzionato di scrivere file in posizioni arbitrarie del file system, portando all'esecuzione di codice remoto non autenticato (bypass dell'autenticazione) sui dispositivi My Cloud.
CVE-2022-36326: problema di consumo incontrollato delle risorse attivato da richieste appositamente predisposte inviate a dispositivi vulnerabili, che causa DoS. (media gravità)
CVE-2022-36328: difetto di attraversamento del percorso che consente a un utente malintenzionato autenticato di creare condivisioni arbitrarie su directory arbitrarie ed esfiltrare file sensibili, password, utenti e configurazioni del dispositivo. (media gravità)
CVE-2022-29840: Vulnerabilità SSRF (Server-Side Request Forgery) che potrebbe consentire a un server non autorizzato sulla rete locale di modificare il proprio URL in modo che punti al loopback. (media gravità)
Per ulteriori informazioni sull'aggiornamento del firmware sul tuo dispositivo My Cloud, consulta le istruzioni di Western Digital.