Исследователь безопасности Ремко Вермеулен сообщает, что Мое Облако всего Western digital , приложенные к сети устройства хранения данных уязвимы для нападения обхода идентификации, которое предоставляет полный доступ ко всем данным.

Western Digital My Cloud - недорогое личное устройство хранения данных с автоматической резервной копией, разработанной и проданной американской компанией по хранению данных Western digital, используемой, чтобы сделать копию чего-либо из фотографий, видео и документов, легкодоступных отовсюду через Интернет.

CVE-2018-17153 - количество CVE уязвимости, раскрытой Remco Vermeulen Секурифи и обнаруженной 9 апреля 2017.

Как Вермеулен заявляет, незаверенные нападавшие могут легко эксплуатировать уязвимые устройства Western Digital My Cloud, чтобы получить права администратора и получающий полный контроль над NAS.

Vermeulen проверил уязвимость устройство Western Digital My Cloud NAS бегущая микропрограммная версия 2.30.172, но согласно сообщению подтверждения от Western Digital, обход идентификации затрагивает все их Мои продукты Облака (минус Мое Облако Домой).

Western Digital был уведомлен о Моей уязвимости Облака год назад, но они не признали его, пока у этого не было числа CVE

Нападавшие могут эксплуатировать слабость безопасности Моего Облака, посылая username=admin печенье в запросе HTTP к сессии стороны сервера, созданной каждый раз, когда администратор авторизовался через веб-интерфейс, чтобы назвать заверенные модули CGI.

Согласно посту Western digital, «уязвимость требует , нападавший, чтобы уже иметь доступ к местной сети владельца Моего Облака или Моему владельцу Облака должен был бы изменить заводские настройки в Доступе Облака Приборной панели, предоставляющем дополнительный удаленный доступ к Моему устройству Облака».

Модели WD My Cloud с Облаком Приборной панели Получают доступ к функции, и уязвимый Мое Облако EX2, Мое Облако EX4, Мое Облако EX2100, Мое Облако EX4100, Мое Облако Крайний EX2, Мое Облако DL2100, Мое Облако DL4100, Мое Облако PR2100, Мое Облако PR4100, Мое Зеркало Облака и Мой Генерал Зеркала Облака 2.

Western Digital заявляет, что нет никаких, фиксируют для проблемы в данный момент, но американская компания по хранению данных находится в процессе издания микропрограммного обновления, которое исправит уязвимость, о которой сообщают.

Еще более удивительная часть оповещения Ремко Вермеулена - то, что он сообщил об ошибке обхода идентификации к клиентской поддержке Western digital, и компания приняла решение проигнорировать его, пока номер CVE не был присвоен.