Western Digital ha comunicato che l’accesso al servizio My Cloud è possibile solo con dispositivi aggiornati. In pratica gli utenti sono obbligati ad installare le ultime versioni dei firmware che risolvono quattro vulnerabilità. L’azienda californiana era stata criticata proprio per la scarsa sicurezza del servizio cloud, colpito da un attacco informatico all’inizio di aprile.
My Cloud solo per dispositivi aggiornati
Il blocco è in vigore dallo scorso 15 giugno. Gli utenti non possono accedere ai loro dati su My Cloud, se il firmware dei dispositivi My Cloud, My Cloud Home e SanDisk ibi non è aggiornato. È possibile solo l’accesso locale. Anche se forzato è tuttavia un consiglio giusto, in quanto i NAS connessi ad Internet sono spesso bersaglio dei cybercriminali. In alcuni casi sono stati sottratti dati personali e installati ransomware dedicati.
La versione minima del firmware per accedere al servizio cloud è 5.26.202 (rilasciata il 15 maggio) per My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror G2, My Cloud DL2100, My Cloud DL4100, My Cloud EX2100, My Cloud e WD Cloud. La versione minima è invece 9.4.1-101 (rilasciata il 25 maggio) per My Cloud Home, My Cloud Home Duo e SanDisk ibi.
I suddetti firmware risolvono quattro vulnerabilità. Quella di livello critico (CVE-2022-36327) consente di scrivere file in una posizione arbitraria del file system e quindi di eseguire codice remoto sul dispositivo, aggirando l’autenticazione. Le altre hanno un livello medio di gravità.
CVE-2022-36326 consente di effettuare un attacco DoS (con eccessivo consumo di risorse) attraverso richieste ad un servizio. CVE-2022-36328 permette di creare una condivisione arbitraria e rubare file, password e nomi utente. Infine, CVE-2022-29840 consente ad un server sulla rete locale di modificare il suo URL per puntare al loopback adapter.