.){kind=link}
La société Positive Technologies a signalé la découverte d'une vulnérabilité dangereuse dans le firmware du stockage réseau numérique occidental (DEO). Cette faille permet aux attaquants d'exécuter du code malveillant arbitraire sur les appareils et de voler des informations sensibles.
La vulnérabilité, décrite dans le bulletin de sécurité CVE-2023-22815, a reçu un score CVSS 8,8 de 3.0. Le problème affecte le micrologiciel My Cloud OS 5 v5.23.114. Il est utilisé sur des NAS Western Digital tels que My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror G2 et autres (liste complète consultable sur le site Internet du fabricant).
« Le scénario le plus dangereux est une prise de contrôle complète de la gestion du NAS. Toutes les étapes ultérieures dépendent des tâches de l'attaquant : vol de données, leur modification, suppression complète ou déploiement sur le NAS de tout logiciel de l'attaquant. La raison de cette vulnérabilité peut être liée à l'ajout de nouvelles fonctionnalités au NAS et au manque de contrôles de sécurité", ont déclaré les experts de Positive Technologies.
Western Digital a déjà répondu et publié le micrologiciel My Cloud OS 5 v5.26.300, qui résout le problème. Il est fortement recommandé à tous les utilisateurs des appareils répertoriés de télécharger la mise à jour. Entre-temps, fin août 2023, les adresses IP de plus de 2400 460 appareils de stockage réseau Western Digital restaient accessibles sur le réseau mondial. Le plus grand nombre d'entre eux se trouve en Allemagne (310), aux États-Unis (257), en Italie (131), en Grande-Bretagne (125) et en Corée du Sud (XNUMX).
Lisez aussi: