Efter att en säkerhetssårbarhet ledde till att vissa WD NAS-ägare hade rensat sina data har en ny sårbarhet upptäckts i fler av WDs enheter (via KrebsOnSecurity). Sårbarheten, upptäckt av säkerhetsforskare Pedro Ribeiro och Radek Domanski, är till synes närvarande på Cloud OS 3-enheter och inte på det nyare Cloud OS 5, som WD nyligen släppte som en uppdatering. Problemet är att många av WD: s användare inte tycker om den nya versionen, enligt Ribeiro och Domanski. Det beror på att det saknas vissa funktioner och funktioner som fanns tillgängliga i Cloud OS 3. WD har sagt att det inte kommer att uppdatera Cloud OS 3 med säkerhetsuppdateringar.
Det finns också möjligheten att vissa användare inte kommer att kunna uppgradera till Cloud OS 5. Enligt WDs stödda enheter sida är den uppdaterade programvaran inte tillgänglig för MyCloud EX2, EX4 eller vissa versioner av My Cloud och My Cloud Spegel.
Om du äger en enhet som inte kan uppdateras till Cloud OS 5 är WD: s råd att uppgradera till en som kan. Det andra alternativet, enligt ett uttalande som WD gav till Comparitech förra året, är att stänga av fjärråtkomst till instrumentpanelen till enheten.
En hacker kan eventuellt tegla din NAS
Forskarna fann att de kunde komma in i en Cloud OS 3-enhet genom att fjärruppdatera den med modifierad firmware. Uppdateringsfunktionen för firmware är tänkt att endast vara tillgänglig för autentiserade användare, men de kunde komma runt det eftersom NAS till synes har en användare på det med ett tomt lösenord, som de kunde använda för att autentisera i vissa fall.
Deras version av exploateringen tillåter dem att utföra kommandon på NAS, men andra versioner kan användas för valfritt antal onödiga syften. Eftersom hacket utnyttjar uppdateringsfunktionen för firmware kan en hackare medvetet eller till och med av misstag tegla enheten. Forskarna har byggt en egen anpassad säkerhetsuppdatering, men den måste appliceras på nytt varje gång den startas om. Du kan se mer information om det i en video som de gjorde förklarar utnyttjandet.
Medan sårbarheten hittades av forskare verkar särskilt svåra, det kanske inte är den enda där ute – WDs inlägg som rekommenderar att folk uppgraderar till Cloud OS 5 säger att det försvarar mot hela klasser av attacker. Med det i åtanke, om du äger en enhet som inte kan köra det nya operativsystemet, är det förmodligen dags att tänka på en uppgradering, antingen till en av WD: s nya enheter eller till ett annat NAS-alternativ.