Okazuje się, że oprogramowanie dysków WD posiada błąd (opisany jako CVE-2018-17153) umożliwiający hakerom przejęcie kontroli nad urządzeniem. Osoba przeprowadzająca atak może zalogować się do panelu administracyjnego bez podawania hasła. Luka została pomyślnie zweryfikowana na urządzeniach My Cloud zawierających oprogramowanie sprzętowe w wersji 2.30.172.
Lukę w kwietniu 2017 r. odkrył badacz bezpieczeństwa Remco Vermeulen, a producent dysków zwlekał z wydaniem aktualizacji ponad rok. Według Vermeulena WD nie traktuje kwestii bezpieczeństwa poważnie o czym świadczy fakt tak długiego zwlekania z wydaniem aktualizacji.
Dyski podatne na zagrożenie:
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud DL2100
- My Cloud DL4100
- My Cloud PR2100
- My Cloud PR4100
- My Cloud Mirror
- My Cloud Mirror Gen 2
Aktualizację można pobrać ręcznie ze strony pomocy technicznej WD. Łatka powinna pojawić się również w standardowym harmonogramie uaktualnień oprogramowania MyCloud.
Źródło: ZDNet