Waarom is het belangrijk? De kwestie van gegevensprivacy en -beveiliging steekt altijd de kop op wanneer een hardwareleverancier weigert kwetsbaarheden te accepteren of te overwegen die de gegevens van hun klanten in gevaar brengen. Zolang klantgegevens zichtbaar blijven, denkt niemand aan de winkel. Deze keer moet, ondanks een reeks rapporten gericht aan WD, de flagrante, een jaar oude kwetsbaarheid nog worden gepatcht.

Een kritieke kwetsbaarheid in de populaire familie My Cloud NAS-apparaten van Western Digital stelt hackers in staat volledige toegang te krijgen tot de inhoud van de apparaten. Remco Vermeulen, een Nederlandse veiligheidsonderzoeker kennisgeving Naar deze bekende escalatie-aanval voor MyCloud-apparaten, maar alleen nadat ik heb geprobeerd het probleem met Western Digital op te lossen en iets anders dan hete lucht te krijgen.

Een "authentication bypass-kwetsbaarheid" zei dat een aanvaller toegang gaf tot beheerdersrechten voordat hij inlogde op het apparaat. Hierdoor kan de aanvaller een inverse shell maken waarmee de gebruiker toegang heeft tot zijn bestanden op de schijf (schijven). Het beveiligingslek bestaat zelfs bij een externe verbinding via internet als de eigenaar van het apparaat externe toegang heeft ingeschakeld.

Dezelfde beveiligingsonderzoeker merkt op dat WD tot op heden details heeft onthuld over andere aanvallen die niet de moeite hebben genomen om firmware-updates te repareren.

De waarheid is dat, Exploitee.rs dezelfde kwetsbaarheid en zelfs gedocumenteerd het hele proces.







De apparaten uit de My Cloud-serie van Western Digital zijn verslag doen van meerdere keren in de media. Het probleem blijft echter bestaan.

In de afgelopen uren reageerde het gekraakte technische team van WD op de openbare verklaring en adviseerde klanten om contact op te nemen met hun ondersteuningsteam, met de mededeling dat ze "bezig waren met een geprogrammeerde firmware-update die het probleem zou oplossen". In een blogpost merkte de hardwareleverancier op dat sommige van zijn apparaten die Dashboard Cloud Access gebruiken kwetsbaar waren voor exploits, zoals My Cloud EX2, EX4, Mirror, PR2100, PR4100. U kunt een volledige lijst vinden hier.




Om eerlijk te zijn, WD is niet de eerste en zal niet de laatste hardwareleverancier zijn die producten met merkbare kwetsbaarheden op de markt brengt, maar de reden waarom er een tijdslimiet is voor het patchen van lekkende schermen nadat ze zijn gemeld.