Kunden von Western Digital wird empfohlen, auf die neueste Version von My Cloud OS zu aktualisieren

Kunden von Western Digital wird empfohlen, auf die neueste Version von My Cloud OS zu aktualisieren

Western Digital hat ein neues Firmware-Update für sein My Cloud-Betriebssystem veröffentlicht, das eine hochgradige Sicherheitslücke behebt, die kürzlich bei einem Hacking-Wettbewerb entdeckt wurde.

Wie BleepingComputer berichtet, haben Cybersicherheitsspezialisten der NCC Group eine Schwachstelle im Netatalk Service ausgenutzt, einer Open-Source-Implementierung des Apple File Protocol (AFP), die es Unix-ähnlichen Betriebssystemen ermöglicht, als Dateiserver für Benutzer zu fungieren. macOS-Clients.

Der Fehler, der jetzt als CVE-9,8-10 identifiziert wird, hat einen Schweregrad von XNUMX/XNUMX, da er es Hackern ermöglicht, beliebigen Code auf dem Zielgerät ohne Authentifizierung auszuführen.

Nettalk-Entfernung

„Der spezifische Fehler besteht in der Funktion parse_entries. Der Nachteil ist auf das Fehlen einer bequemen Fehlerbehandlung bei der Prüfung von AppleDouble-Einträgen zurückzuführen“, heißt es in der Empfehlung der Zero Day Initiative. „Ein Angreifer kann diese Schwachstelle ausnutzen, um Code im Root-Kontext auszuführen.“

Aus diesem Grund hat Western Digital den Netatalk-Dienst vollständig aus dem My Cloud-Betriebssystem entfernt, beginnend mit der Firmware-Version 5.19.117, und empfiehlt allen WD NAS-Benutzern, ihre Geräte auf diese Version zu aktualisieren.

Dies sind die Geräte, die als anfällig für die Ausnutzung gelten:

WD NAS-Benutzer, die sich entscheiden, ihre Geräte auf die neueste Version zu aktualisieren, können den Netatalk-Dienst nicht mehr nutzen, können aber weiterhin über SMB auf Netzwerkfreigaben zugreifen.

Das Netatalk-Entwicklungsteam blieb jedoch nicht tatenlos dabei. Nachdem der Fehler bei der Remotecodeausführung im Wettbewerb ausgenutzt wurde, veröffentlichten sie ein Update, das CVE-XNUMX-XNUMX und eine Reihe anderer bekannter Schwachstellen behebt, von denen einige als kritisch eingestuft wurden.

Über BleepingComputer