Western Digital MyCloud vol ongepatchte beveiligingslekken

[Captain Kirk]

Onderzoekers hebben in de My Cloud-netwerkschijven van harde schijffabrikant Western Digital 85 kwetsbaarheden gevonden waardoor een aanvaller in het ergste geval de apparaten op afstand kan overnemen. Beveiligingsupdates zijn nog niet beschikbaar, omdat Western Digital niet werd ingelicht.

Via de kwetsbaarheden kan een aanvaller de inlogcontrole omzeilen, eigen commando's uitvoeren en bestanden zonder rechten uploaden. Volgens onderzoekers van Exploitee.rs gaat het om meer dan 83 kwetsbaarheden om op afstand roottoegang te krijgen. De onderzoekers besloten Western Digital niet van te voren in te lichten omdat het bedrijf zo'n slechte reputatie onder beveiligingsonderzoekers heeft.

"Het negeren van deze bugs zou de kwetsbare apparaten langer online laten terwijl de responsible disclosure wordt gecoördineerd", aldus de onderzoekers. Door de kwetsbaarheden openbaar te maken hopen ze dat mensen de kwetsbare apparaten van de openbare gedeeltes van hun netwerk halen en de toegang waar mogelijk beperken. Ook hopen ze dat Western Digital nu sneller met updates komt. Een overzicht van alle kwetsbare modellen is op de website van Exploitee.rs te vinden.

 

 

bron: security.nl