聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
西部数据提醒 My Cloud 系列设备的所有人表示,需要将设备更新至最新固件版本 5.26.202,否则从2023年6月15日开始将无法连接到云服务。
西部数据希望借这种激进措施保护用户免受网络攻击,因为最新的固件版本修复了一个远程可利用漏洞,该漏洞可用于执行未认证代码执行操作。
西部数据在支持公告中提到,“从2023年6月15日开始,使用5.26.202版本以下固件的设备将无法连接到西部数据云服务,用户将无法通过 mycloud.com 和 My Cloud OS 5移动应用访问设备数据,除非他们将设备更新至最新固件版本。用户仍可通过本地权限访问数据。”
My Cloud 服务将 NAS 设备连接到西部数据的云服务,供用户存储、访问、备份并共享 web 中的媒体。话虽如此,但对设备或用户媒体仓库的越权访问可导致严重的数据和隐私泄露问题。另外,任意代码执行甚至可导致在设备上部署勒索软件,而近期多次表明这种行为将影响 NAS 设备。
西部数据提醒所有人表示,如下设备需将固件更新至指定版本,否则将无法访问 My Cloud:
My Cloud PR2100 – 5.26.202或后续版本
My Cloud PR4100 – 5.26.202 或后续版本
My Cloud EX4100 – 5.26.202 或后续版本
My Cloud EX2 Ultra – 5.26.202 或后续版本
My Cloud Mirror G2 – 5.26.202 或后续版本
My Cloud DL2100 – 5.26.202 或后续版本
My Cloud DL4100 – 5.26.202 或后续版本
My Cloud EX2100 – 5.26.202 或后续版本
My Cloud – 5.26.202 或后续版本
WD Cloud – 5.26.202 或后续版本
My Cloud Home – 9.4.1-101 或后续版本
My Cloud Home Duo – 9.4.1-101 或后续版本
SanDisk ibi – 9.4.1-101 或后续版本
如上固件版本在2023年5月15日发布,修复了如下四个漏洞:
CVE-2022-36327:严重的路径遍历漏洞(CVSS v3.1:9.8),可导致攻击者将文件写入任意文件系统位置,导致 My Cloud 设备上的未认证(认证绕过)远程代码执行后果。
CVE-2022-36326:通过将特殊构造请求发送到易受攻击设备而触发的不受控的资源耗尽问题,可导致 DoS 攻击(中危)。
CVE-2022-36328:路径遍历漏洞,可导致认证攻击者在任意目录创建任意共享并提取敏感数据、密码、用户和设备配置(中危)。
CVE-2022-29840:服务器端请求伪造 (SSRF) 漏洞,可导致局域网上的恶意服务器修改 URL,指回至回环(中危)。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
一年半之后,西部数据 My Cloud NAS 设备验证绕过漏洞仍未修复
原文链接
https://www.bleepingcomputer.com/news/security/western-digital-boots-outdated-nas-devices-off-of-my-cloud/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~