Si vous aimez les données sur votre appareil WD My Cloud OS 3, corrigez-le maintenant

Western Digital a corrigé trois vulnérabilités critiques – une avec un indice de gravité de 9,8 et une autre avec un 9,0 – qui permettent aux pirates de voler des données ou de détourner à distance des périphériques de stockage exécutant la version 3 du système d’exploitation My Cloud de l’entreprise.

CVE-2021-40438, comme l’une des vulnérabilités est suivie, permet aux attaquants distants sans authentification de faire en sorte que les appareils transmettent les demandes aux serveurs de leur choix. Comme les deux autres failles corrigées par Western Digital, il réside dans les versions 2.4.48 et antérieures du serveur HTTP Apache. Les attaquants l’ont déjà exploité avec succès pour voler les mots de passe hachés d’un système vulnérable, et le code d’exploitation est facilement disponible.

La vulnérabilité, avec un indice de gravité de 9 sur un maximum de 10, provient d’une falsification de requête côté serveur. Cette classe de bogues permet aux attaquants de canaliser les requêtes malveillantes vers des systèmes internes qui se trouvent derrière des pare-feu ou qui ne sont pas accessibles en dehors d’un réseau privé. Cela fonctionne en incitant les applications côté serveur à envoyer des requêtes HTTP à un domaine arbitraire choisi par l’attaquant.

CVE-2021-39275, quant à lui, porte un indice de gravité de 9,8 sur un score possible de 10. Il permet aux attaquants distants de planter des systèmes vulnérables et éventuellement d’exécuter du code malveillant. Deux vulnérabilités supplémentaires, CVE-2021-36160 et CVE-2021-34798, permettent de planter à distance des systèmes vulnérables.

Publicité

Apache a publié des correctifs pour les vulnérabilités en octobre dernier. La raison pour laquelle le fabricant de disques a mis quatre mois à les incorporer dans son système d’exploitation de disque n’est pas claire.

De nombreuses personnes sont souvent lentes à corriger les vulnérabilités des périphériques tels que les périphériques de stockage en réseau. Ce serait une erreur dans le cas de périphériques de stockage exécutant le système d’exploitation propriétaire My Cloud de Western Digital. En juin, Western Digital a conseillé aux utilisateurs d’un produit différent, le My Book Live, de débrancher immédiatement les appareils d’Internet. Pendant ce temps, la société a réagi à ce qui s’est avéré plus tard être l’exploitation massive d’une vulnérabilité zero-day.

L’année dernière, Western Digital a établi un calendrier pour l’élimination progressive de l’utilisation de My Cloud OS 3. À partir du début de la semaine, les utilisateurs de l’ancien système d’exploitation avec des appareils compatibles avec la version actuelle du système d’exploitation 5 devaient mettre à jour vers la nouvelle version. S’ils ne le faisaient pas, les utilisateurs ne pourraient plus se connecter aux appareils via Internet, recevoir des mises à jour de sécurité ou obtenir une assistance technique. Le 15 avril, le support de la version 3 prendra complètement fin. Les appareils qui ne sont pas compatibles avec la version 5 d’ici là perdront l’accès à distance, ce qui signifie qu’ils ne pourront accéder aux fichiers que sur les réseaux locaux.

“Nous recommandons à tous les utilisateurs éligibles de passer immédiatement à My Cloud OS 5 pour bénéficier des derniers correctifs de sécurité”, a déclaré Western Digital dans un avis. Les instructions pour la mise à niveau sont ici.

Image de la liste en suivant ces instructions / Flickr

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire