Компания Western Digital исправила три критические уязвимости (одна из них имеет оценку 9,8 балла по шкале CVSS), которые позволяют хакерам похищать данные и удаленно захватывать устройства, работающие под управлением My Cloud OS 3.
Первая уязвимость, CVE-2021-40438 , позволяет удаленным злоумышленникам без аутентификации вынуждать устройства перенаправлять запросы на серверы по выбору самих хакеров. Как и два других бага, проблема затрагивает HTTP-сервер Apache версии 2.4.48 и более ранних. Ранее злоумышленники уже использовали эту ошибку для кражи хешированных паролей из уязвимой системы, и PoC-эксплоит для этой уязвимости давно доступен на GitHub.
Баг, получивший 9 баллов из 10 возможных по шкале CVSS, относится к типу SSRF, то есть связан с подделкой запросов на стороне сервера. Такие ошибки позволяют злоумышленникам направлять вредоносные запросы к внутренним системам, которые находятся за брандмауэрами и обычно доступны только в частной сети. Уязвимость побуждает серверные приложения выполнять HTTP-запросы к произвольному домену по выбору злоумышленника.
Уже упомянутая выше уязвимость CVE-2021-39275, набравшая 9,8 баллов по шкале CVSS, относится к разряду критических и позволяет удаленным злоумышленникам вызывать сбой в работе уязвимых систем и выполнять произвольный код.
Еще две проблемы, CVE-2021-36160 и CVE-2021-34798, тоже позволяют удаленно спровоцировать «падение» уязвимых систем.
Интересно, что разработчики Apache выпустили исправления для этих багов еще в октябре прошлого года, и не совсем ясно, почему Western Digital понадобилось целых четыре месяца, чтобы включить эти патчи в свою ОС.
Впрочем, еще в прошлом году Western Digital обнародовала план поэтапного отказа от My Cloud OS 3. То есть к текущему моменту пользователи устройств со старой ОС, которые совместимы с My Cloud OS 5, должны были обновиться до новой версии. Если это сделано не было, пользователи теряют возможность подключаться к своим девайсам через интернет, получать обновления безопасности и техническую поддержку. 15 апреля 2022 года поддержка My Cloud OS 3 будет окончательно прекращена. Устройства, которые несовместимы с новой My Cloud OS 5, к этому моменту лишатся удаленного доступу, то есть станут доступны только через локальные сети.