Компания Western Digital предупреждает владельцев старых устройств серии My Cloud, что они не могут подключаться к облачным сервисам после 15 июня 2023 года, если их девайсы не обновлены до последней версии прошивки (5.26.202).
Производитель сообщает, что это решение было принято ради защиты пользователей от кибератак, поскольку последняя прошивка для NAS патчит удаленно эксплуатируемую уязвимость, которую можно использовать для выполнения произвольного кода.
«Устройства с прошивкой ниже 5.26.202 не смогут подключаться к облачным сервисам Western Digital начиная с 15 июня 2023 года, и пользователи не смогут получить доступ к данным на своем устройстве через mycloud.com и мобильное приложение My Cloud OS 5 до тех пор, пока не обновят устройства до последней версии прошивки», — гласит официальное сообщение.
Western Digital предупредила владельцев NAS, что для следующих устройств необходимо выполнить обновление до указанных версий, иначе они больше не смогут получить доступ к My Cloud:
- My Cloud PR2100 — 5.26.202 или более новая версия;
- My Cloud PR4100 — 5.26.202 или более новая версия;
- My Cloud EX4100 — 5.26.202 или более новая версия;
- My Cloud EX2 Ultra — 5.26.202 или более новая версия;
- My Cloud Mirror G2 — 5.26.202 или более новая версия;
- My Cloud DL2100 — 5.26.202 или более новая версия;
- My Cloud DL4100 — 5.26.202 или более новая версия;
- My Cloud EX2100 — 5.26.202 или более новая версия;
- My Cloud — 5.26.202 или более новая версия;
- WD Cloud — 5.26.202 или более новая версия;
- My Cloud Home — 9.4.1-101 или более новая версия;
- My Cloud Home Duo — 9.4.1-101 или более новая версия;
- SanDisk ibi — 9.4.1-101 или более новая версия.
Перечисленные версии прошивок были выпущены 15 мая 2023 года и исправляют следующие уязвимости:
- CVE-2022-36327 — критическая уязвимость (9,8 балла по шкале CVSS) типа path traversal, позволяющая злоумышленнику записывать файлы в произвольное местоположения файловой системы, что приводит к удаленному выполнению кода без аутентификации на устройствах My Cloud;
- CVE-2022-36326 — уязвимость, связанная с неконтролируемым потреблением ресурсов, которую можно спровоцировать специально подготовленными запросами, отправляемыми на уязвимые устройства, что приводит к отказу в обслуживании;
- CVE-2022-36328 — еще один баг типа path traversal, позволяющий аутентифицированному злоумышленнику создавать произвольные общие ресурсы в произвольных каталогах и похищать конфиденциальные файлы, пароли, пользователей и конфигурации устройств;
- CVE-2022-29840 — SSRF-уязвимость (Server-Side Request Forgery), позволяющая вредоносному серверу в локальной сети изменить свой URL-адрес таким образом, чтобы создать петлю.