High-Tech News

Si vous aimez les données sur votre appareil WD My Cloud OS 3, corrigez-le maintenant


Si vous aimez les données sur votre appareil WD My Cloud OS 3, corrigez-le maintenant

Western Digital a corrigé trois vulnérabilités critiques – une avec un indice de gravité de 9,8 et une autre avec un 9,0 – qui permettent aux pirates de voler des données ou de détourner à distance des périphériques de stockage exécutant la version 3 du système d’exploitation My Cloud de l’entreprise.

CVE-2021-40438, car l’une des vulnérabilités est suivie, permet aux attaquants distants sans authentification de faire en sorte que les appareils transmettent les demandes aux serveurs de leur choix. Comme les deux autres failles corrigées par Western Digital, il réside dans les versions 2.4.48 et antérieures du serveur HTTP Apache. Les attaquants l’ont déjà exploité avec succès pour voler des mots de passe hachés d’un système vulnérable, et exploit code est facilement disponible.

La vulnérabilité avec un indice de gravité de 9 sur un maximum de 10 provient d’un Contrefaçon de requête côté serveur. Cette classe de bogues permet aux attaquants de canaliser les requêtes malveillantes vers des systèmes internes qui se trouvent derrière des pare-feu ou qui ne sont pas accessibles en dehors d’un réseau privé. Cela fonctionne en incitant les applications côté serveur à envoyer des requêtes HTTP à un domaine arbitraire choisi par l’attaquant.

CVE-2021-39275, quant à lui, porte un indice de gravité de 9,8 sur un score possible de 10. Il permet aux attaquants distants de planter des systèmes vulnérables et éventuellement d’exécuter du code malveillant. Deux vulnérabilités supplémentaires—CVE-2021-36160 et CVE-2021-34798— permettent de faire planter à distance des systèmes vulnérables.

Apache a publié des correctifs pour les vulnérabilités en octobre dernier. La raison pour laquelle le fabricant de disques a mis quatre mois à les incorporer dans son système d’exploitation de disque n’est pas claire.

De nombreuses personnes sont souvent lentes à corriger les vulnérabilités des périphériques tels que les périphériques de stockage en réseau, qui exécutent le système d’exploitation propriétaire My Cloud de Western Digital. Ce serait une erreur dans ce cas. En juin, Western Digital a conseillé aux utilisateurs d’un produit différent, le My Book Live, de débranchez immédiatement les appareils d’Internet. Pendant ce temps, la société a répondu à ce qui s’est avéré plus tard être le exploitation massive d’une vulnérabilité zero-day.

L’année dernière, Western Digital a établi un calendrier pour l’élimination progressive de l’utilisation de My Cloud OS 3. À partir du début de la semaine, les utilisateurs de l’ancien système d’exploitation avec des appareils compatibles avec la version actuelle du système d’exploitation 5 devaient mettre à jour vers la nouvelle version. S’ils ne le faisaient pas, les utilisateurs ne pourraient plus se connecter aux appareils via Internet, recevoir des mises à jour de sécurité ou obtenir une assistance technique. Le 15 avril, le support de la version 3 prendra complètement fin. Les appareils qui ne sont pas compatibles avec la version 5 d’ici là perdront l’accès à distance, ce qui signifie qu’ils ne pourront accéder aux fichiers que sur les réseaux locaux.

« Nous recommandons à tous les utilisateurs éligibles de passer immédiatement à My Cloud OS 5 pour bénéficier des derniers correctifs de sécurité », a déclaré Western Digital dans un communiqué. consultatif. Les instructions de mise à jour sont ici.

Image de la liste par suivezcesinstructions / Flickr



Source link

Quelle est votre réaction ?

Excité
0
Heureux
0
J'adore
0
Pas certain
0
ridicule
0

Vous aimerez aussi

Laisser une réponse

Votre adresse e-mail ne sera pas publiée.

Plus dans:High-Tech News