Western Digital hat ein neues Firmware-Update für sein My Cloud-Betriebssystem veröffentlicht, das eine hochgradige Sicherheitslücke behebt, die kürzlich bei einem Hacking-Wettbewerb entdeckt wurde.
Wie BleepingComputer berichtet, haben Cybersicherheitsspezialisten der NCC Group eine Schwachstelle im Netatalk Service ausgenutzt, einer Open-Source-Implementierung des Apple File Protocol (AFP), die es Unix-ähnlichen Betriebssystemen ermöglicht, als Dateiserver für Benutzer zu fungieren. macOS-Clients.
Der Fehler, der jetzt als CVE-9,8-10 identifiziert wird, hat einen Schweregrad von XNUMX/XNUMX, da er es Hackern ermöglicht, beliebigen Code auf dem Zielgerät ohne Authentifizierung auszuführen.
Nettalk-Entfernung
„Der spezifische Fehler besteht in der Funktion parse_entries. Der Nachteil ist auf das Fehlen einer bequemen Fehlerbehandlung bei der Prüfung von AppleDouble-Einträgen zurückzuführen“, heißt es in der Empfehlung der Zero Day Initiative. „Ein Angreifer kann diese Schwachstelle ausnutzen, um Code im Root-Kontext auszuführen.“
Aus diesem Grund hat Western Digital den Netatalk-Dienst vollständig aus dem My Cloud-Betriebssystem entfernt, beginnend mit der Firmware-Version 5.19.117, und empfiehlt allen WD NAS-Benutzern, ihre Geräte auf diese Version zu aktualisieren.
Dies sind die Geräte, die als anfällig für die Ausnutzung gelten:
- Meine PR2100 Cloud
- Meine PR4100 Cloud
- Meine Cloud EX2 Ultra
- Meine Cloud EX 4100
- Mein Wolkenspekulum Gen 2
- Meine Cloud EX2100
- Meine Cloud DL2100
- Meine Cloud DL4100
WD NAS-Benutzer, die sich entscheiden, ihre Geräte auf die neueste Version zu aktualisieren, können den Netatalk-Dienst nicht mehr nutzen, können aber weiterhin über SMB auf Netzwerkfreigaben zugreifen.
Das Netatalk-Entwicklungsteam blieb jedoch nicht tatenlos dabei. Nachdem der Fehler bei der Remotecodeausführung im Wettbewerb ausgenutzt wurde, veröffentlichten sie ein Update, das CVE-XNUMX-XNUMX und eine Reihe anderer bekannter Schwachstellen behebt, von denen einige als kritisch eingestuft wurden.
Über BleepingComputer