Western Digital laat lek in My Cloud al meer dan een jaar zitten

[Captain Kirk]

Harde schijffabrikant Western Digital heeft een beveiligingslek in de My Cloud-dienst, waarmee gebruikers vanaf het internet bestanden op hun harde schijf thuis kunnen benaderen, al meer dan een jaar laten zitten. Via de kwetsbaarheid kan een aanvaller de authenticatie omzeilen en zonder het opgeven van een wachtwoord als beheerder inloggen.

Het beveiligingslek was door twee onderzoekers onafhankelijk van elkaar ontdekt en aan Western Digital gerapporteerd. Onderzoeker Remco Vermeulen van het Nederlandse securitybedrijf Securify waarschuwde de harde schijffabrikant op 10 april 2017. Sindsdien werd er niets meer van Western Digital vernomen. Ook onderzoekers van Exploitee.rs ontdekten de kwetsbaarheid en rapporteerden die aan Western Digital. Tevens maakten ze de kwetsbaarheid vorig jaar juli openbaar tijdens de Def Con-beveiligingsconferentie in Las Vegas.

Begin dit jaar lieten de onderzoekers van Exploitee.rs via Twitter weten dat de kwetsbaarheid nog steeds niet was verholpen. Aangezien er nog altijd geen update beschikbaar is besloot ook Vermeulen de details over het beveiligingslek openbaar te maken. Daarop kwam Western Digital met een verklaring dat het binnen een aantal weken met een beveiligingsupdate zal komen.

Verder stelt de fabrikant dat een aanvaller al toegang tot het lokale netwerk van de gebruiker moet hebben om de kwetsbaarheid uit buiten of dat de gebruiker de standaardinstellingen heeft aangepast door remote toegang toe te staan. De volgende modellen zijn kwetsbaar: My Cloud EX2, EX4, EX2100, EX4100 en EX2 Ultra, DL2100 en DL4100, PR2100 en PR4100, de My Cloud Mirror en My Cloud Mirror 2e generatie. Wanneer de beveiligingsupdate precies zal verschijnen is nog niet bekend.

 

 

bron: security.nl