Nachdem eine Sicherheitslücke dazu führte, dass die Daten einiger WD NAS-Besitzer gelöscht wurden, wurde eine neue Sicherheitslücke in mehr Geräten von WD entdeckt (über KrebsOnSecurity). Die von den Sicherheitsforschern Pedro Ribeiro und Radek Domanski entdeckte Schwachstelle ist anscheinend auf Cloud OS 3-Geräten vorhanden und nicht auf dem neueren Cloud OS 5, das WD kürzlich als Update veröffentlicht hat. Das Problem ist, dass laut Ribeiro und Domanski viele Benutzer von WD die neue Version nicht mögen. Dies liegt daran, dass bestimmte Funktionen und Funktionen fehlen, die in Cloud OS 3 verfügbar waren. WD hat angekündigt, Cloud OS 3 nicht mit Sicherheitspatches zu aktualisieren.
Es besteht auch die Möglichkeit, dass einige Benutzer nicht auf Cloud OS 5 aktualisieren können. Laut WD-Seite für unterstützte Geräte ist die aktualisierte Software nicht für MyCloud EX2, EX4 oder bestimmte Versionen von My Cloud und My Cloud verfügbar Spiegel.
Wenn Sie ein Gerät besitzen, das nicht auf Cloud OS 5 aktualisiert werden kann, empfiehlt WD, auf eines zu aktualisieren, das dies kann. Die andere Möglichkeit, laut einer Aussage, die WD letztes Jahr an Comparitech gegeben hat, besteht darin, den Remote-Dashboard-Zugriff auf das Gerät zu deaktivieren.
Ein Hacker könnte möglicherweise Ihr NAS blockieren
Die Forscher fanden heraus, dass sie in ein Cloud OS 3-Gerät gelangen konnten, indem sie es aus der Ferne mit modifizierter Firmware aktualisieren. Die Firmware-Update-Funktionalität soll nur für authentifizierte Benutzer zugänglich sein, aber sie konnten dies umgehen, da auf dem NAS anscheinend ein Benutzer mit einem leeren Passwort vorhanden ist, mit dem sie sich in einigen Fällen authentifizieren konnten.
Ihre Version des Exploits ermöglicht es ihnen, Befehle auf dem NAS auszuführen, aber andere Versionen könnten für eine Reihe von schändlichen Zwecken verwendet werden. Da der Hack die Firmware-Update-Funktion ausnutzt, könnte ein Hacker das Gerät absichtlich oder sogar versehentlich blockieren. Die Forscher haben ihren eigenen benutzerdefinierten Sicherheitspatch erstellt, der jedoch bei jedem Neustart des Geräts erneut auf das Gerät angewendet werden muss. Weitere Details dazu finden Sie in einem Video, das den Exploit erklärt.
Während die von Forscher scheinen besonders ungeheuerlich zu sein, es ist vielleicht nicht der einzige da draußen – WDs Beitrag, der Leuten ein Upgrade auf Cloud OS 5 empfiehlt, sagt, dass es gegen ganze Klassen von Angriffen verteidigt. Vor diesem Hintergrund ist es wahrscheinlich an der Zeit, über ein Upgrade nachzudenken, entweder auf eines der neuen Geräte von WD oder auf eine andere NAS-Option, wenn Sie ein Gerät besitzen, auf dem das neue Betriebssystem nicht ausgeführt werden kann.