Western Digital: krytyczna luka w My Cloud OS usunięta. Zaktualizuj NAS
Western Digital wydał aktualizację systemu My Cloud OS 5, w której załatano poważną lukę bezpieczeństwa. W niezaktualizowanych NAS-ach możliwe jest bowiem przeprowadzenie stosunkowo prostego ataku, a później podniesienie uprawnień i uruchomienie zewnętrznego kodu.
O szczegółach informuje Bleeping Computer, bazując na oficjalnej informacji prasowej Western Digital. Luka, o której mowa, oznaczona została symbolem CVE-2021-44142 i dotyczy przepełnienia stosu w module Samba vfs_fruit. W efekcie atakujący może spreparować atrybuty plików, dzięki którym podniesie swoje uprawnienia nawet do poziomu roota, a później uruchomi dowolny kod.
Western Digital wydał więc aktualizację systemu My Cloud OS 5. Firmware w wersji 5.21.104 pozbawiony jest wad i dotyczy szeregu urządzeń z serii My Cloud, w tym PR2100, PR4100, EX4100, EX2 Ultra, Mirror Gen 2, DL2100, DL4100 oraz EX2100. O szczegółach można przeczytać w notatce bezpieczeństwa na stronie Western Digital. Oprogramowanie zostało wydane kilka dni temu, więc warto upewnić się, czy zostało już zainstalowane w NAS-ie.
Bleeping Computer dodaje, że wcześniej Western Digital usunął także inną wadę w systemie My Cloud. W tym przypadku chodzi o oznaczoną symbolem CVE-2022-23121 lukę związaną z Netatalk - otwartoźródłową implementacją protokołu AFP. Tutaj także zagrożeniem było podnoszenie uprawnień i docelowe uruchomianie dowolnego kodu.