.){kind=link}
Positive Technologies ilmoitti löytäneensä vaarallisen haavoittuvuuden verkkotallennusohjelmistossa Western Digital (WD). Reiän ansiosta hyökkääjät voivat suorittaa mielivaltaista haitallista koodia laitteissa ja varastaa arkaluonteisia tietoja.
Tietoturvatiedotteessa CVE-2023-22815 kuvattu haavoittuvuus sai CVSS 8,8:n arvosanaksi 3.0. Ongelma koskee My Cloud OS 5 -laiteohjelmistoa v5.23.114. Sitä käytetään sellaisissa Western Digital NAS:issa kuin My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror G2 ja muissa (täydellinen lista voit katsoa valmistajan verkkosivuilta).
"Vaarallisin skenaario on NAS-hallinnon täydellinen haltuunotto. Kaikki myöhemmät vaiheet riippuvat hyökkääjän tehtävistä: tietojen varastaminen, niiden muokkaaminen, minkä tahansa hyökkääjän ohjelmiston täydellinen poistaminen tai käyttöönotto NAS:ssa. Syy haavoittumiseen saattaa liittyä uusien toimintojen lisäämiseen NAS:iin ja turvatarkastusten puutteeseen", Positive Technologiesin asiantuntijat sanoivat.
Western Digital on jo vastannut ja julkaissut My Cloud OS 5 v5.26.300 -laiteohjelmiston, joka korjaa ongelman. Kaikkia lueteltujen laitteiden käyttäjiä suositellaan lataamaan päivitys. Samaan aikaan yli 2023 2400 Western Digital -verkkotallennuslaitteen IP-osoitteet olivat elokuun 460 lopussa käytettävissä maailmanlaajuisessa verkossa. Eniten niitä on Saksassa (310), Yhdysvalloissa (257), Italiassa (131), Isossa-Britanniassa (125) ja Etelä-Koreassa (XNUMX).
Lue myös: