.){kind=link}
Uzņēmums Positive Technologies ziņoja par bīstamas ievainojamības atklāšanu tīkla krātuves programmaparatūrā Western Digital (WD). Caurums ļauj uzbrucējiem ierīcēs izpildīt patvaļīgu ļaunprātīgu kodu un nozagt sensitīvu informāciju.
Ievainojamība, kas aprakstīta drošības biļetenā CVE-2023-22815, saņēma CVSS 8,8 punktu 3.0. Problēma skar My Cloud OS 5 programmaparatūru v5.23.114. To izmanto tādās Western Digital NAS ierīcēs kā My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror G2 un citos (pilns saraksts var apskatīt ražotāja vietnē).
“Visbīstamākais scenārijs ir pilnīga NAS pārvaldības pārņemšana. Visas turpmākās darbības ir atkarīgas no uzbrucēja uzdevumiem: datu zādzība, to modificēšana, jebkura uzbrucēja programmatūras pilnīga noņemšana vai izvietošana NAS. Ievainojamības iemesls varētu būt saistīts ar jaunas funkcionalitātes pievienošanu NAS un drošības pārbaužu trūkumu,» sacīja Positive Technologies eksperti.
Western Digital jau ir reaģējis un izlaidis My Cloud OS 5 v5.26.300 programmaparatūru, kas novērš problēmu. Visiem uzskaitīto ierīču lietotājiem ir ļoti ieteicams lejupielādēt atjauninājumu. Tikmēr 2023. gada augusta beigās vairāk nekā 2400 Western Digital tīkla atmiņas ierīču IP adreses joprojām bija pieejamas globālajā tīklā. Visvairāk no tiem atrodas Vācijā (460), ASV (310), Itālijā (257), Lielbritānijā (131) un Dienvidkorejā (125).
Lasi arī: