Ga naar inhoud

Western Digital MyCloud NAS-systemen door lek op afstand over te nemen


Aanbevolen berichten

MyCloud NAS-systemen van fabrikant Western Digital zijn door een reeks van kwetsbaarheden in het onderliggende besturingssysteem op afstand over te nemen, zo waarschuwen beveiligingsonderzoekers. Onlangs werden MyBook Live-systemen van WD het doelwit van een aanval waarbij de data van gebruikers werd gewist.

Onderzoekers Radek Domanski en Pedro Ribeiro ontdekten verschillende kwetsbaarheden in MyCloud OS 3, het besturingssysteem van MyCloud NAS-systemen, die het mogelijk voor een ongeauthenticeerde aanvaller maken om code als root uit te voeren en een permanente backdoor op het NAS-systeem te installeren. De onderzoekers wilden hun bevindingen vorig jaar november demonstreren tijdens de Pwn2Own-hackwedstrijd in Tokio.

Een aantal dagen voor het evenement lanceerde Western Digital MyCloud OS 5, waarin de kwetsbaarheid niet aanwezig is. Daardoor konden ze niet meer met hun inzending aan Pwn2Own meedoen, aangezien alleen demonstraties tegen de laatste versie van de software worden geaccepteerd. In februari van dit jaar demonstreerden de onderzoekers hun aanval in YouTube-video. Ook ontwikkelden ze een onofficiële patch voor het probleem.

Volgens de onderzoekers reageerde Western Digital niet op hun bugmelding. In een reactie tegenover it-journalist Brian Krebs laat WD weten dat het de bugmelding na Pwn2own heeft ontvangen, maar dat de kwetsbaarheid al in MyCloud OS 5 was verholpen. Het is echter onduidelijk of het beveiligingslek in MyCloud OS 3 is opgelost. In maart van dit jaar waarschuwde WD dat deze versie van het besturingssysteem niet meer wordt ondersteund. Gebruikers werd opgeroepen om te upgraden naar OS 5.

Domanski en Ribeiro stellen dat OS 5 belangrijke features mist die wel in OS 3 aanwezig zijn, waardoor sommige gebruikers er misschien voor kiezen om niet te upgraden. Om eventueel misbruik te voorkomen wordt deze gebruikers aangeraden hun NAS niet direct vanaf het internet toegankelijk te maken.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...