Почему это важно: Вопрос конфиденциальности и безопасности данных поднимает свою уродливую голову каждый раз, когда поставщик оборудования отказывается признавать или обращать внимание на эксплойты, которые компрометируют данные их клиентов. В то время как данные о клиентах открыты, никто не присматривает за магазином. На этот раз, несмотря на ряд сообщений WD, вопиющая уязвимость годовалой давности до сих пор не исправлена.
Критический недостаток безопасности в популярном семействе NAS-устройств My Cloud от Western Digital позволяет хакерам получить полный доступ к содержимому устройств. Ремко Вермеулен, голландский исследователь безопасности, только что опубликовал отчет об этой известной атаке с повышением привилегий для устройств MyCloud, но только после того, как попытался решить проблему с Western Digital и не получил ничего, кроме болтовни.
«Уязвимость обхода аутентификации», по его словам, предоставляет злоумышленнику доступ к привилегиям администратора перед входом в устройство. Это позволяет злоумышленнику создать обратную оболочку, предоставляя ему доступ к файлам пользователя на диске (дисках). Уязвимость присутствует даже при удаленном подключении через интернет, если владелец устройства предварительно включил удаленный доступ.
Тот же исследователь безопасности заявляет, что ранее он раскрывал подробности о других атаках, которые на сегодняшний день WD не удосужилась исправить в своих обновлениях прошивки.
Этот факт был подтвержден Exploitee.rs, которые заявили, что сообщали об этой же уязвимости и даже задокументировали весь процесс.
Устройства серии My Cloud от Western Digital печально известны своей уязвимостью: в средствах массовой информации несколько раз сообщалось о ряде атак. Однако проблема остается.
За последние несколько часов команда инженеров WD ответила на публичное сообщение и заявила, что они работают над «запланированным обновлением прошивки, которое решит проблему», и посоветовала клиентам обратиться в их службу поддержки.. Производитель оборудования признал в своем блоге, что ряд его устройств, использующих Dashboard Cloud Access, остаются уязвимыми для эксплойта, включая My Cloud EX2, EX4, Mirror, PR2100, PR4100 и другие. Полный список можно найти здесь.
Справедливости ради следует отметить, что WD не первый и не последний поставщик аппаратного обеспечения, выпускающий на рынок продукты с явными уязвимостями, но само собой разумеющееся, что существует ограничение по времени на исправление протекающего сита после того, как оно было сообщил.