OPPDATER: Western Digital har svart på vår forespørsel om en uttalelse, som vi har publisert nedenfor.

Sikkerhetsforskere på Securify har oppdaget et sikkerhetsproblem på Western Digitals My Cloud NAS-bokser som kan gi angriperne full kontroll over innholdet. Utnyttelsen krever enten lokalt nettverk eller internettilgang til en My Cloud-enhet for å kunne kjøres og omgå NAS-boksens vanlige login krav.

Kalt CVE-2018-17153, kan bugten potensielt også gi kapere muligheten til å kjøre kommandoer som vanligvis krever administrative rettigheter. Når tilgangen er oppnådd, kan hackere se, kopiere, slette eller overskrive filer som er lagret på enheten.

Din sky kan bli pwned

I henhold til Securify, "Network_mgr.cgi CGI-modulen inneholder en kommando kalt cgi_get_ipv6 som starter en admin-økt som er knyttet til IP-adressen til brukeren som gjør forespørselen når den påberopes med parameterflagget lik 1. Etterfølgende påkalling av kommandoer som ville Vanligvis krever admin privilegier er nå autorisert hvis en angriper angir brukernavn = admin cookie."

Ved å skjære gjennom sjargonget betyr det i hovedsak at det er slik WD My Cloud setter opp en admin-økt koblet til en IP-adresse som øker sikkerhetsproblemet. Ved å legge til kaken brukernavn = admin til en HTTP CGI-forespørsel sendt via et lokalt nettverk eller en Internett-tilkobling, kan alle få tilgang til innholdet som er lagret på NAS-boksen.

Securify hevet problemet med Western Digital i april, da feilen først ble oppdaget, men aldri hørt tilbake fra selskapet. Etter fem måneders stillhet fra WD, har Securify besluttet å offentliggjøre sårbarheten.

Vi kontaktet Western Digital for en kommentar, og selskapet har bekreftet at en fastvareoppdatering vil bli distribuert kort for å løse problemet. "Vi er i ferd med å fullføre en planlagt fastvareoppdatering som vil løse det rapporterte problemet," reagerte WD i en e-post. "Vi forventer å legge inn oppdateringen på vår tekniske supportside på https://support.wdc.com/ innen noen få uker."

  • Les mer: WD My Passport Wireless SSD gjennomgang