В сетевых хранилищах WD на базе My Cloud OS3 обнаружена опасная уязвимость нулевого дня

В конце прошлого месяца владельцы сетевых хранилищ Western Digital My Book Live столкнулись с проблемой. Хакерская атака с использованием двух уязвимостей программного обеспечения привела к сбросу настроек на упомянутых устройствах с потерей всех хранящихся данных. Теперь же работающий в сфере информационной безопасности журналист Брайан Кребс (Brian Krebs) сообщил об обнаружении ещё одной уязвимости нулевого дня в сетевых хранилищах WD, работающих под управлением My Cloud OS3.

Речь идёт об уязвимости удалённого выполнения кода, которая присутствует во всех сетевых хранилищах WD, работающих под управлением My Cloud OS3 — программного обеспечения, поддержка которого недавно была прекращена. Ещё в прошлом году уязвимость обнаружили исследователи Радек Домански (Radek Domanski) и Педро Рибейро (Pedro Ribeiro), которые планировали представить результаты своей работы на конкурсе Pwn2Own. Всего за несколько дней до мероприятия WD выпустила My Cloud OS5, в которой уязвимость была устранена. Это лишило исследователей возможности участия в конкурсе, поскольку одним из его условий является наличие работоспособного эксплойта для уязвимости в последней версии программного обеспечения. Тем не менее, в начале этого года они опубликовали на YouTube видео, в котором рассказали, как им удалось выявить уязвимость, эксплуатация которой позволяет интегрировать вредоносный бэкдор в программное обеспечение сетевых хранилищ WD.   

До этого исследователи неоднократно пытались связаться с представителями WD, но компания не ответила на их запросы. В WD подтвердили получение отчёта исследователей, добавив, что на тот момент уязвимость, о которой идёт речь, уже была исправлена в My Cloud OS5. «Полученная нами информация подтверждала, что исследовательская группа планировала раскрыть подробности уязвимости, и попросила нас связаться с ними по любым вопросам. У нас не было вопросов, поэтому мы не ответили на их запросы. С тех пор мы изменили правила взаимодействия и отвечаем на каждый отчёт, чтобы избежать подобных недоразумений. Мы очень серьёзно относимся к отчётам сообщества исследователей безопасности и проводим расследования, как только они поступают к нам», — приводит источник слова представителя WD.

Примечательно, что в своём ответе WD не коснулась вопроса о том, была ли исправлена уязвимость в My Cloud OS3. В официальном сообщении компании от 12 марта 2021 года сказано, что поддержка этой версии прошивки прекращается. Это может означать, что разработчики не устранили уязвимость в старой версии ПО и не намерены этого делать. «Мы не будем предоставлять никаких обновлений безопасности для прошивки My Clous OS3 в будущем. Мы настоятельно рекомендуем перейти на прошивку My Cloud OS5. Если ваше устройство не поддерживает обновление до My Cloud OS5, мы рекомендуем перейти на использование одного из других устройств семейства My Cloud, которое поддерживает My Cloud OS5», — говорится в сообщении WD.

Представители WD пока никак не комментируют данный вопрос. Для защиты устройств с MyCloud OS3 можно использовать патч, созданный Домански и Рибейро, но его нужно будет перезапускать после каждой перезагрузки устройства. Также можно ограничить доступ в интернет, чтобы снизить вероятность того, что злоумышленники попытаются воспользоваться уязвимостью в My Cloud OS3.

По материалам: 3dnews.ru