Bir güvenlik açığının bazı Western Digital NAS sahiplerinin verilerinin silinmesine neden olmasından sonra, KrebsOnSecurity‘nin belirttiğine göre, daha fazla WD cihazında yeni bir güvenlik açığı keşfedildi.
Güvenlik araştırmacıları Pedro Ribeiro ve Radek Domanski tarafından keşfedilen güvenlik açığı, görünüşe göre WD’nin yakın zamanda bir güncelleme niteliğinde çıkardığı yeni Cloud OS 5’te değil, Cloud OS 3 cihazlarında mevcut. Sorun şu ki, WD kullanıcılarının çoğu yeni sürümü beğenmiyor. Bunun nedeni, Cloud OS 3’te bulunan belirli işlev ve özelliklerin eksik olmasıdır. WD, Cloud OS 3’ü güvenlik yamalarıyla güncellemeyeceğini söyledi.
Ayrıca bazı kullanıcıların Cloud OS 5’e yükseltme yapmama olasılığının varlığı da söz konusu. WD’nin desteklenen cihazlar sayfasına göre, güncellenen yazılım MyCloud EX2, EX4 veya My Cloud ve My Cloud Mirror’ın belirli sürümleri için mevcut değil gibi görünüyor.
Cloud OS 5’e güncellenemeyen bir cihazınız varsa, WD’nin tavsiyesi, güncellenebilen bir cihaza geçiş yapmanızdır. WD’nin Comparitech’e geçen yıl yaptığı bir açıklamaya göre önerdiği bir diğer seçenek, cihaza uzaktan kumanda paneli erişimini kapatmaktır.
Güvenlik araştırmacıları, değiştirilmiş bellenim ile uzaktan güncelleyerek bir Cloud OS 3 cihazına girebileceklerini tespit ettiler. Ürün yazılımının güncelleme işlevine, yalnızca kimliği doğrulanmış kullanıcılar tarafından erişilebilmesi amaçlanmıştır, ancak NAS’ın üzerinde, bazı durumlarda kimlik doğrulaması yapmak için kullanılabilecek boş bir parola bulunduğu için bunun üstesinden gelebildiler.
Açığın bu versiyonu NAS üzerinde komutların yürütülmesine izin veriyor, ancak diğer sürümler herhangi bir sayıda kötü amaç için kullanılabilir. Ayrıca saldırı, aygıt yazılımı güncelleme işlevinden yararlandığı için, bir bilgisayar korsanı kasıtlı olarak veya yanlışlıkla aygıtı bozabilir. Araştırmacılar kendi özel güvenlik yamalarını oluşturdular, ancak cihazın yeniden başlatıldığı her seferde yeniden uygulanması gerekiyor. Güvenlik açığının kötüye kullanımını açıklayan bir videoda bununla ilgili daha fazla ayrıntı yer alıyor:
Araştırmacılar tarafından bulunan güvenlik açığı epey korkunç görünse de bu, oradaki tek güvenlik açığı olmayabilir. WD’nin, kullanıcıların Cloud OS 5’e yükseltmesini öneren açıklamasında, bu güncel sürümle güvenlik açığının tüm saldırı sınıflarına karşı koruma sağlandığı belirtiliyor. Bunu akılda tutarak, yeni işletim sistemini çalıştıramayan bir cihazınız varsa, muhtemelen WD’nin yeni cihazlarından birine veya başka bir NAS seçeneğine yükseltmeyi düşünmenin zamanı gelmiştir.
