Revelan otra vulnerabilidad crítica en dispositivos de almacenamiento de Western Digital
Dicen que las malas noticias nunca vienen solas, sobre todo para los clientes de Western Digital.
Como si las cosas no hubiesen sido suficientemente malas para la incalculable cantidad de clientes de Western Digital cuyos datos fueron eliminados el mes pasado. Ahora resulta que hay otro día cero en espera de quien no pueda o no quiera actualizar sus dispositivos de almacenamiento My Cloud.
Este último día cero implica una cadena de ataque que permite a un intruso no autenticado ejecutar código como root e instalar una puerta trasera. Específicamente, el atacante puede instalar una puerta trasera permanente en los dispositivos de almacenamiento conectados a la red (NAS) del proveedor.
La vulnerabilidad está presente en todos los dispositivos NAS de Western Digital que ejecutan el antiguo sistema operativo (OS) sin soporte My Cloud 3. My Cloud 3 es un sistema operativo que, según los investigadores, está “en el limbo”, dado que Western Digital dejó de brindar soporte recientemente.
Vulnerabilidad
Western Digital ha dicho que su actualización, My Cloud OS 5, solucionó la vulnerabilidad. Tal vez sea así, pero los investigadores que encontraron la vulnerabilidad de OS 3, Radek Domanski y Pedro Ribeiro, dijeron que OS 5 es vulnerable. Según los investigadores, OS 5 es una reescritura completa de OS 3 que incluye algunas características y funcionalidades populares.
Como tal, es probable que no todos los usuarios se actualicen: una presunción subrayada por los muchos usuarios que confirmaron el uso de OS 3. Estas menciones se observaron en el foro de soporte cuando ocurrió la eliminación remota de datos en junio.
Según Domanski OS 5 “eliminó muchas funciones”. Por lo tanto, es posible que algunos usuarios no decidan migrar al SO 5.
Pero no todo está perdido, hay esperanza. Domanski y Ribeiro han desarrollado y lanzado su propio parche que corrige las vulnerabilidades que encontraron en el OS 3. Sin embargo, existe un problema: debe volver a aplicarse cada vez que se reinicia el dispositivo.
Eliminación de datos global
El mes pasado, vimos a qué puede conducir una vulnerabilidad como esta. Los usuarios de todo el mundo se lamentaron cuando los años (décadas, en algunos casos) de datos fueron borrados de forma remota de sus viejos dispositivos My Book Live y My Book Live Duo.
El ataque de junio en realidad resultó ser dos ataques en lo que al principio parecía uno. En primer lugar, una antigua vulnerabilidad de ejecución remota de código (RCE) de 2018 al que Western Digital culpó primero por los formateos remotos. Y, en segundo lugar y una vulnerabilidad 0-day previamente desconocida que permitió restablecimientos de fábrica remotos sin necesidad de autenticación en los dispositivos.
Diferentes expertos analizaron los registros de los dispositivos afectados y encontraron que los dispositivos parecían haber sido atrapados en algún tipo de disputa. La hipótesis es que podría haber sido una lucha entre varios atacantes por el control de los dispositivos comprometidos.
