.){kind=link}
Bendrovė „Positive Technologies“ pranešė aptikusi pavojingą tinklo saugyklos programinės aparatinės įrangos pažeidžiamumą Western Digital (WD). Skylė leidžia užpuolikams vykdyti savavališką kenkėjišką kodą įrenginiuose ir pavogti neskelbtiną informaciją.
Pažeidžiamumas, aprašytas saugos biuletenyje CVE-2023-22815, gavo CVSS 8,8 įvertinimą 3.0. Problema turi įtakos My Cloud OS 5 programinės aparatinės įrangos v5.23.114. Jis naudojamas tokiose „Western Digital NAS“ kaip „My Cloud PR2100“, „My Cloud PR4100“, „My Cloud EX4100“, „My Cloud EX2 Ultra“, „My Cloud Mirror G2“ ir kt.visas sąrašas galima peržiūrėti gamintojo svetainėje).
„Pavojingiausias scenarijus yra visiškas NAS valdymo perėmimas. Visi tolesni veiksmai priklauso nuo užpuoliko užduočių: duomenų vagystės, jų modifikavimo, visiško bet kurios užpuoliko programinės įrangos pašalinimo arba įdiegimo NAS. Pažeidžiamumo priežastis gali būti susijusi su naujomis NAS funkcijomis ir saugumo patikrų stoka“, – sakė „Positive Technologies“ ekspertai.
„Western Digital“ jau atsakė ir išleido „My Cloud OS 5 v5.26.300“ programinę-aparatinę įrangą, kuri išsprendžia problemą. Visiems išvardytų įrenginių naudotojams primygtinai rekomenduojama atsisiųsti naujinimą. Tuo tarpu 2023 m. rugpjūčio mėn. pabaigoje daugiau nei 2400 460 „Western Digital“ tinklo saugojimo įrenginių IP adresai išliko pasiekiami pasauliniame tinkle. Daugiausia jų yra Vokietijoje (310), JAV (257), Italijoje (131), Didžiojoje Britanijoje (125) ir Pietų Korėjoje (XNUMX).
Taip pat skaitykite: