Après qu'une faille de sécurité ait conduit certains propriétaires de NAS WD à effacer leurs données, une nouvelle faille a été découverte dans plusieurs appareils de WD (via KrebsOnSecurity). La vulnérabilité, découverte par les chercheurs en sécurité Pedro Ribeiro et Radek Domanski, est apparemment présente sur les appareils Cloud OS 3 et non sur le nouveau Cloud OS 5, que WD a récemment publié sous forme de mise à jour. Le problème est que, selon Ribeiro et Domanski, de nombreux utilisateurs de WD n'aiment pas la nouvelle version. C'est parce qu'il manque certaines fonctions et fonctionnalités qui étaient disponibles dans Cloud OS 3. WD a déclaré qu'il ne mettrait pas à jour Cloud OS 3 avec des correctifs de sécurité.
Il est également possible que certains utilisateurs ne puissent pas passer à Cloud OS 5. Selon la page des appareils pris en charge par WD, le logiciel mis à jour n'est pas disponible pour MyCloud EX2, EX4 ou certaines versions de My Cloud et My Cloud. Miroir.
Si vous possédez un appareil qui ne peut pas être mis à jour vers Cloud OS 5, le conseil de WD est de passer à un appareil qui le peut. L'autre option, selon une déclaration que WD a donnée à Comparitech l'année dernière, est de désactiver l'accès au tableau de bord à distance à l'appareil.
Un pirate pourrait potentiellement briquer votre NAS
Les chercheurs ont découvert qu'ils pouvaient accéder à un appareil Cloud OS 3 en le mettant à jour à distance avec un micrologiciel modifié. La fonctionnalité de mise à jour du micrologiciel est censée être accessible uniquement aux utilisateurs authentifiés, mais ils ont pu contourner cela car le NAS a apparemment un utilisateur avec un mot de passe vide, qu'ils ont pu utiliser pour s'authentifier dans certains cas.
Leur version de l'exploit leur permet d'exécuter des commandes sur le NAS, mais d'autres versions pourraient être utilisées à de nombreuses fins néfastes. De plus, comme le piratage exploite la fonction de mise à jour du micrologiciel, un pirate informatique pourrait volontairement ou même accidentellement briquer l'appareil. Les chercheurs ont créé leur propre correctif de sécurité personnalisé, mais il doit être réappliqué à l'appareil à chaque redémarrage. Vous pouvez voir plus de détails à ce sujet dans une vidéo expliquant l'exploit.
Alors que la vulnérabilité trouvée par le les chercheurs semblent particulièrement flagrants, ce n'est peut-être pas le seul là-bas – le post de WD recommandant aux gens de passer à Cloud OS 5 dit qu'il se défend contre des classes entières d'attaques. Dans cet esprit, si vous possédez un appareil qui ne peut pas exécuter le nouveau système d'exploitation, il est probablement temps de penser à une mise à niveau, soit vers l'un des nouveaux appareils de WD, soit vers une autre option NAS.