.){kind=link}
Η εταιρεία Positive Technologies ανέφερε την ανακάλυψη μιας επικίνδυνης ευπάθειας στο υλικολογισμικό της αποθήκευσης δικτύου Western Digital (WD). Η τρύπα επιτρέπει στους εισβολείς να εκτελούν αυθαίρετο κακόβουλο κώδικα σε συσκευές και να κλέβουν ευαίσθητες πληροφορίες.
Η ευπάθεια, που περιγράφεται στο ενημερωτικό δελτίο ασφαλείας CVE-2023-22815, έλαβε βαθμολογία CVSS 8,8 3.0. Το πρόβλημα επηρεάζει το υλικολογισμικό My Cloud OS 5 v5.23.114. Χρησιμοποιείται σε τέτοια Western Digital NAS όπως My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror G2 και άλλα (πλήρης λίστα μπορούν να προβληθούν στον ιστότοπο του κατασκευαστή).
«Το πιο επικίνδυνο σενάριο είναι η πλήρης ανάληψη της διαχείρισης της NAS. Όλα τα επόμενα βήματα εξαρτώνται από τις εργασίες του εισβολέα: κλοπή δεδομένων, τροποποίησή τους, πλήρης αφαίρεση ή ανάπτυξη στο NAS του λογισμικού οποιουδήποτε εισβολέα. Ο λόγος για την ευπάθεια μπορεί να σχετίζεται με την προσθήκη νέας λειτουργικότητας στο NAS και την έλλειψη ελέγχων ασφαλείας», δήλωσαν ειδικοί της Positive Technologies.
Η Western Digital έχει ήδη ανταποκριθεί και κυκλοφόρησε το υλικολογισμικό My Cloud OS 5 v5.26.300, το οποίο διορθώνει το πρόβλημα. Συνιστάται ανεπιφύλακτα σε όλους τους χρήστες των συσκευών που αναφέρονται να κάνουν λήψη της ενημέρωσης. Εν τω μεταξύ, από τα τέλη Αυγούστου 2023, οι διευθύνσεις IP περισσότερων από 2400 συσκευών αποθήκευσης δικτύου Western Digital παρέμειναν προσβάσιμες στο παγκόσμιο δίκτυο. Ο μεγαλύτερος αριθμός από αυτούς βρίσκεται στη Γερμανία (460), στις ΗΠΑ (310), στην Ιταλία (257), στη Μεγάλη Βρετανία (131) και στη Νότια Κορέα (125).
Διαβάστε επίσης: