اگر داده‌های دستگاه WD My Cloud OS 3 خود را دوست دارید، اکنون آن را وصله کنید


اگر داده‌های دستگاه WD My Cloud OS 3 خود را دوست دارید، اکنون آن را وصله کنید

وسترن دیجیتال سه آسیب‌پذیری حیاتی را اصلاح کرده است – یکی با درجه‌بندی شدت 9.8 و دیگری با 9.0 – که به هکرها امکان سرقت داده یا ربودن از راه دور دستگاه‌های ذخیره‌سازی دارای نسخه 3 سیستم عامل My Cloud این شرکت را می‌دهد.

CVE-2021-40438، به عنوان یکی از آسیب‌پذیری‌ها ردیابی می‌شود، به مهاجمان راه دور بدون احراز هویت اجازه می‌دهد تا درخواست‌های دستگاه‌ها را به سرورهای انتخابی مهاجمان ارسال کنند. مانند دو نقص دیگر وسترن دیجیتال که رفع شده است، در Apache HTTP Server نسخه های 2.4.48 و قبل از آن قرار دارد. مهاجمان قبلاً با موفقیت از آن برای سرقت رمزهای عبور هش شده از یک سیستم آسیب پذیر سوء استفاده کرده اند و کد سوء استفاده به راحتی در دسترس است.

این آسیب‌پذیری با رتبه‌بندی شدت 9 از حداکثر 10، از جعل درخواست سمت سرور ناشی می‌شود. این دسته از اشکالات به مهاجمان اجازه می‌دهد درخواست‌های مخرب را به سیستم‌های داخلی که پشت فایروال‌ها هستند یا خارج از یک شبکه خصوصی قابل دسترسی نیستند، ارسال کنند. این برنامه با القای برنامه های سمت سرور برای ارسال درخواست های HTTP به دامنه دلخواه به انتخاب مهاجم کار می کند.

در همین حال، CVE-2021-39275 دارای امتیاز 9.8 از امتیاز 10 است. به مهاجمان راه دور اجازه می دهد تا سیستم های آسیب پذیر را خراب کنند و احتمالاً کدهای مخرب را اجرا کنند. دو آسیب‌پذیری اضافی – CVE-2021-36160 و CVE-2021-34798 – خراب کردن سیستم‌های آسیب‌پذیر را از راه دور ممکن می‌سازد.

آپاچی در اکتبر گذشته وصله‌هایی را برای آسیب‌پذیری‌ها منتشر کرد. اینکه چرا سازنده دیسک چهار ماه طول کشیده تا آنها را در سیستم عامل دیسک خود بگنجاند، مشخص نیست.

بسیاری از مردم اغلب در اصلاح آسیب‌پذیری‌های دستگاه‌های جانبی مانند دستگاه‌های ذخیره‌سازی متصل به شبکه، که سیستم عامل اختصاصی My Cloud Western Digital را اجرا می‌کنند، کند هستند. این یک اشتباه در این مورد خواهد بود. در ماه ژوئن، وسترن دیجیتال به کاربران محصول متفاوتی به نام My Book Live توصیه کرد که فوراً دستگاه ها را از اینترنت جدا کنند. در همین حال، این شرکت به آنچه که بعداً مشخص شد بهره برداری انبوه از آسیب پذیری روز صفر بود، پاسخ داد.

سال گذشته، وسترن دیجیتال برنامه‌ای برای حذف تدریجی استفاده از My Cloud OS 3 ارائه کرد. از اوایل این هفته، کاربران سیستم‌عامل قدیمی‌تر با دستگاه‌هایی که با سیستم عامل فعلی نسخه 5 سازگار هستند، باید به نسخه جدید به‌روزرسانی شوند. اگر این کار را نمی کردند، کاربران دیگر نمی توانستند از طریق اینترنت به دستگاه ها متصل شوند، به روز رسانی های امنیتی را دریافت کنند یا پشتیبانی فنی دریافت کنند. در 15 آوریل، پشتیبانی از نسخه 3 به طور کامل به پایان می رسد. دستگاه هایی که تا آن زمان با نسخه 5 سازگار نیستند، دسترسی از راه دور را از دست خواهند داد، به این معنی که فقط می توانند از طریق شبکه های محلی به فایل ها دسترسی داشته باشند.

وسترن دیجیتال در مشاوره ای گفت: “ما به همه کاربران واجد شرایط توصیه می کنیم فوراً به سیستم عامل My Cloud 5 ارتقا دهند تا از آخرین اصلاحات امنیتی بهره مند شوند.” دستورالعمل های ارتقا در اینجا هستند.

تصویر فهرست بر اساس این دستورالعمل ها / فلیکر