Western Digital kampt met een tweede zeroday: MyCloud OS 3-apparaten zijn ook kwetsbaar

4 reacties

Eind juni werd bekend dat Western Digital My Book-nas-apparaten kampen met een beveiligingsprobleem, waardoor malware de inhoud volledig zou verwijderen. Later bleek dat het specifiek ging om een zeroday-aanval. Twee white hat-hackers hebben nu bekendgemaakt dat ze een tweede zeroday-kwetsbaarheid hebben gevonden.

De hackers Pedro Ribeiro en Radek Domanski van het YouTubekanaal Flashback Team verklaren dat WD-apparaten met My Cloud OS 3-apparten kwetsbaar zijn. In oktober heeft Western Digital OS 5 uitgebracht, maar veel apparaten blijken dit besturingssysteem niet te ondersteunen en blijven daardoor op OS 3 steken. De onderzoekers hebben geprobeerd om hun nas-apparaten te updaten naar OS 5, maar hebben hiermee hun apparaten gebrickt. Bovendien ontbreekt bepaalde functionaliteit die wel te vinden was in OS 3.


De apparaten die My Cloud OS 5 ondersteunen.

De onderzoekers waren al met het probleem bezig voor de hackerwedstrijd Pwn2Own in 2020, maar WD heeft vlak voordat ze hun onderzoek konden indienen een update uitgebracht die het probleem verhielp en de indiening niet geldig maakte. Het bedrijf heeft niet gereageerd, later verklaarde het 'dat het geen vragen had over het probleem'. Inmiddels zou het zijn beleid rondom onderzoeken hebben aangepast, en elk rapport serieus neemt en direct onderzoek gaat doen als het lucht krijgt van een probleem.

Door een OS 3-apparaat met aangepaste firmware te updaten was het apparaat op afstand toegankelijk. OS 3-apparaten blijken een verborgen gebruiker te hebben die toegang heeft tot het apparaat zonder een wachtwoord te gebruiken. Een potentiële aanvaller die zich hiervan bewust is kan zichzelf dus relatief gemakkelijk toegang geven tot het nas-apparaat. De hackers hebben ook een patch uitgebracht die is te vinden op Github.

Het onderzoek is al in februari onthuld, maar Westen Digital zegt zelf geen patches uit te gaan brengen. Gebruikers van een OS 3-apparaat  dat de update niet ondersteunt worden aangeraden om te upgraden naar een apparaat met OS 5-ondersteuning.

Bronnen: Flashback Team (YouTube), Github

« Vorig bericht Volgend bericht »
0
*