Western Digital imbuttat aġġornament tal-firmware ġdid għall-My Cloud OS tiegħu, li rranġa vulnerabbiltà ta 'severità għolja li ġiet skoperta waqt konkors reċenti ta' hacking.
Kif irrappurtati mill- BleepingComputer, esperti taċ-ċibersigurtà mill-NCC Group sfruttaw difett f'Netatalk Service, implimentazzjoni open-source tal-Apple Filing Protocol (AFP) li tippermetti li sistemi operattivi bħal Unix iservu bħala fajl. Servers għall-klijenti macOS.
Id-difett, issa ssorveljat bħala CVE-2022-23121, għandu punteġġ ta' severità ta' 9.8/10, peress li jippermetti lill-atturi tat-theddid imexxu kwalunkwe kodiċi fuq il-mira endpoint, mingħajr awtentikazzjoni.
TechRadar għandu bżonnek!
Qed inħarsu lejn kif il-qarrejja tagħna jużaw VPNs b'apparati differenti sabiex inkunu nistgħu ntejbu l-kontenut tagħna u noffru pariri aħjar. Dan l-istħarriġ m'għandux jieħu aktar minn 60 sekonda mill-ħin tiegħek, u dawk li jidħlu mir-Renju Unit u l-Istati Uniti se jkollhom iċ-ċans li jidħlu fi tlugħ għal £100 karta rigal Amazon (jew ekwivalenti f'USD). Grazzi talli ħadt sehem.
Tneħħi Netatalk
“Id-difett speċifiku jeżisti fi ħdan il-funzjoni parse_entries. Il-kwistjoni tirriżulta min-nuqqas ta 'ġestjoni xierqa tal-iżbalji meta jiġu analizzati l-entrati ta' AppleDouble, "il- Konsulenza dwar l-Inizjattiva Zero Day jaqra. "Attakkant jista' jisfrutta din il-vulnerabbiltà biex jesegwixxi kodiċi fil-kuntest tal-għeruq."
Bħala riżultat, Western Digital ġibdet is-servizz Netatalk kompletament mill-My Cloud OS, u beda bil-verżjoni tal-firmware 5.19.117, u ta parir lill-WD kollha. NAS utenti biex jaġġornaw l-endpoints tagħhom għal din il-verżjoni.
Dawn huma l-apparati kkunsidrati vulnerabbli għall-isfruttament:
My Cloud PR2100My Cloud PR4100My Cloud EX2 UltraMy Cloud EX 4100My Cloud Mirror Gen 2My Cloud EX2100My Cloud DL2100My Cloud DL4100
L-utenti ta 'WD NAS li jiddeċiedu li jaġġornaw it-tagħmir tagħhom għall-aħħar verżjoni ma jistgħux jużaw aktar is-servizz Netatalk, iżda jistgħu jkomplu jaċċessaw ishma tan-netwerk permezz ta' SMB.
It-tim tal-iżvilupp Netatalk ma qagħadx idly, madankollu. Wara li l-bug tal-eżekuzzjoni tal-kodiċi remot ġie sfruttat fil-konkors, huma mbuttaw aġġornament li jiffissa CVE-2022-23121 u għadd ta 'vulnerabbiltajiet magħrufa oħra, li wħud minnhom kienu kklassifikati bħala kritiċi.
Dawn huma l- l-aħjar ħażna tas-sħab dritt issa
Via BleepingComputer