Nadat een beveiligingsprobleem ertoe heeft geleid dat sommige WD NAS-bezitters hun gegevens hebben gewist, is een nieuwe kwetsbaarheid ontdekt in meer van WD-apparaten (via KrebsOnSecurity). Het beveiligingslek, ontdekt door beveiligingsonderzoekers Pedro Ribeiro en Radek Domanski, lijkt aanwezig te zijn op Cloud OS 3-apparaten en niet op het nieuwere Cloud OS 5, dat WD onlangs als update heeft uitgebracht. Het probleem is dat, volgens Ribeiro en Domanski, veel gebruikers van WD de nieuwe versie niet leuk vinden. Dat komt omdat het bepaalde functies en functies mist die beschikbaar waren in Cloud OS 3. WD heeft gezegd dat het Cloud OS 3 niet zal updaten met beveiligingspatches.
Het is ook mogelijk dat sommige gebruikers niet kunnen upgraden naar Cloud OS 5. Volgens de pagina met ondersteunde apparaten van WD is de bijgewerkte software niet beschikbaar voor de MyCloud EX2, EX4 of bepaalde versies van de My Cloud en My Cloud Spiegel.
Als u een apparaat bezit dat niet kan worden bijgewerkt naar Cloud OS 5, adviseert WD om te upgraden naar een apparaat dat dat wel kan. De andere optie, volgens een verklaring die WD vorig jaar aan Comparitech gaf, is het uitschakelen van de externe dashboardtoegang tot het apparaat.
Een hacker zou mogelijk uw NAS kunnen blokkeren
De onderzoekers ontdekten dat ze in een Cloud OS 3-apparaat konden komen door het op afstand te updaten met aangepaste firmware. De firmware-updatefunctionaliteit is bedoeld om alleen toegankelijk te zijn voor geverifieerde gebruikers, maar ze konden dat omzeilen omdat de NAS schijnbaar een gebruiker heeft met een leeg wachtwoord, dat ze in sommige gevallen konden gebruiken om te authenticeren.
Hun versie van de exploit stelt hen in staat om opdrachten op de NAS uit te voeren, maar andere versies kunnen voor allerlei snode doeleinden worden gebruikt. Omdat de hack gebruikmaakt van de firmware-updatefunctie, kan een hacker het apparaat opzettelijk of zelfs per ongeluk blokkeren. De onderzoekers hebben hun eigen aangepaste beveiligingspatch gebouwd, maar deze moet elke keer dat het opnieuw wordt opgestart opnieuw op het apparaat worden toegepast. Je kunt er meer details over zien in een video die ze hebben gemaakt waarin ze de exploit uitleggen.
Terwijl de kwetsbaarheid die door de onderzoekers lijken bijzonder flagrant, het is misschien niet de enige die er is – WD's post die mensen aanbeveelt om te upgraden naar Cloud OS 5 zegt dat het verdedigt tegen hele soorten aanvallen. Met dat in gedachten, als u een apparaat bezit waarop het nieuwe besturingssysteem niet kan worden uitgevoerd, is het waarschijnlijk tijd om na te denken over een upgrade, hetzij naar een van de nieuwe apparaten van WD, hetzij naar een andere NAS-optie.