Western Digital は 6 か月以上前の脆弱性をまだパッチしていない
これらの脆弱性はGulfTechによって発見され、少なくとも12のWestern Digital製品で発見されたと述べた。最初のバグでは、ユーザー「mydlinkBRionyg」とパスワード「 abc12345cba 」を使用した管理者としてのリモート アクセスが許可されました。ハッカーがストレージ ユニットへのリモート アクセスを取得できるものと、情報のダンプ、コードの挿入、または DDoS 攻撃の実行を可能にするものも見つかりました。
GulfTech は昨年 6 月に Western Digital に連絡し、脆弱性について伝えました。同社は、バグを修正するのに十分な時間を確保するために、バグが公開される 90 日前までに要求しました。これらのパッチの最初のパッチ(ファームウェア 2.30.165)は 11 月に到着し、「権限のないユーザーによるファイルの削除、コマンドの実行、検証のスキップを可能にする重大なセキュリティ上の欠陥を修正する」と主張していました。その後のパッチ2.30.172で、同社はメディアが公開した一部を修正すると主張しました。
彼らはまだバグの修正に取り組んでいます。
ただし、更新した多くのMy Cloud ユーザーが、まだ存在するバグを報告しています。現時点で安全を確保する唯一の方法は、 My Cloud ダッシュボードへのアクセスを無効にし ([設定] – [一般] – [クラウド アクセス] からアクセス可能)、ルーターと My Cloud デバイスの両方でポート転送を無効にすることです (後者は[設定] – [ネットワーク] – [ポート転送]で)。したがって、GulfTech は会社を急ぐために、先週エクスプロイトを公開することを決定しました。
Western Digital の My Cloud NAS を使用すると、ユーザーはローカルとクラウドの両方にファイルを保存できます。家庭や中小企業で広く使用されています。現在、依然としてこの脆弱性の影響を受けるデバイスの完全なリストは次のとおりです。
- マイクラウドEX2
- マイクラウドEX4
- MyCloud EX2100
- マイクラウド EX4100
- マイクラウドEX2ウルトラ
- マイクラウド DL2100
- マイクラウド DL4100
- マイクラウド PR2100
- マイクラウド PR4100
- 私のクラウドミラー
- 私のクラウドミラー第2世代
これまでのところ、同社がバグを発見してから6か月が経過していますが、まだ修正されていません。メディアがこの問題について大騒ぎし、エクスプロイトが公開されたことで、同社ができるだけ早く修正することを急ぐかどうかを見てみましょう。