In seguito alla comparsa del grave problema che la scorsa settimana ha interessato le unità My Book Live di Western Digital, portando all’improvvisa cancellazione di tutti i dati conservati nei dischi, è emersa una seconda vulnerabilità che permette potenzialmente a chiunque di effettuare da remoto un reset alle impostazioni di fabbrica senza conoscere la password di amministratore. Nel caso tutto questo ancora non fosse sufficiente, si aggiunge ora un’ulteriore falla che interessa il software My Cloud OS.
WD My Cloud OS 3, spunta una nuova vulnerabilità
A scoprirla i ricercatori Pedro Ribeiro e Radek Domansk: ad esserne afflitta è la versione 3 del sistema operativo, non più supportata (il 12 marzo 2021, WD ha messo nero su bianco che My Cloud OS 3 non riceverà ulteriori fix per la sicurezza). Il produttore ha reso disponibile da qualche tempo l’aggiornamento alla versione 5, ma non tutti l’hanno già installata (per via di alcune caratteristiche mancanti rispetto alla precedente) o possono farlo (per ragioni legate alla compatibilità con i modelli più datati): non è disponibile ad esempio per My Cloud EX2, EX4 e per alcune incarnazioni della gamma My Cloud e My Cloud Mirror.
Nella pagina di supporto, alla voce “Funzionalità differenti tra OS 3 e OS 5”, si legge che non tutte le funzionalità nell’elenco sono supportate da tutti i modelli My Cloud
e Twoknky DLNA Server 8.2.1 installato su My Cloud OS 5 e successivo non include lo strumento Twonky Thumbnail Utility e non supporta l’estrazione di default delle anteprime dai contenuti video
.
I due hanno persino rilasciato una patch “amatoriale” per My Cloud OS 3, in grado di correggere il problema e mettere così al sicuro i dati degli utenti, ma che dev’essere necessariamente reinstallata ad ogni riavvio dell’unità. Un’altra soluzione che è possibile adottare è quella che passa dal disconnettere i dischi dalla Rete, rendendoli così irraggiungibili da remoto.