Western Digital 警告 My Cloud 系列设备的所有者,如果设备未升级到最新固件版本 5.26.202,则从 2023 年 6 月 15 日起将无法再连接到云服务。
存储制造商决定采取这一严厉措施来保护其用户免受网络攻击,因为最新的固件解决了一个可远程利用的漏洞,该漏洞可被用来执行未经身份验证的代码执行。
“从 2023 年 6 月 15 日开始,固件低于 5.26.202 的设备将无法连接到西部数据云服务,用户将无法通过 mycloud.com 和 My Cloud OS 5 移动应用程序访问其设备上的数据,直到他们将设备更新到最新的固件,” Western Digital 支持公告解释说。
“用户可以继续通过 Local Access 访问他们的数据。”
My Cloud 是一种将网络附加存储 (NAS) 设备连接到 Western Digital 的云服务的服务,允许用户存储、访问、备份和共享来自 Web 的媒体。
也就是说,未经授权访问设备或用户的媒体存储库可能会导致严重的数据和隐私泄露。
此外,任意代码执行甚至可能导致在设备上部署勒索软件,我们 在 最近多次看到它对 NAS 设备 造成影响。
Western Digital提醒用户,以下设备需要升级固件至指定版本,否则将无法访问My Cloud:
- My Cloud PR2100 – 5.26.202 或更高版本
- My Cloud PR4100 – 5.26.202 或更高版本
- My Cloud EX4100 – 5.26.202 或更高版本
- My Cloud EX2 Ultra – 5.26.202 或更高版本
- My Cloud Mirror G2 – 5.26.202 或更高版本
- My Cloud DL2100 – 5.26.202 或更高版本
- My Cloud DL4100 – 5.26.202 或更高版本
- My Cloud EX2100 – 5.26.202 或更高版本
- 我的云 – 5.26.202 或更高版本
- WD Cloud – 5.26.202 或更高版本
- My Cloud Home – 9.4.1-101 或更高版本
- My Cloud Home Duo – 9.4.1-101 或更高版本
- SanDisk ibi – 9.4.1-101 或更高版本
上述固件版本于2023年5月15日发布,修复了以下四个漏洞:
- CVE-2022-36327:严重性 (CVSS v3.1: 9.8) 路径遍历缺陷允许攻击者将文件写入任意文件系统位置,导致在 My Cloud 设备上执行未经身份验证(绕过身份验证)的远程代码。
- CVE-2022-36326:由发送到易受攻击设备的特制请求触发的不受控制的资源消耗问题,导致 DoS。(中等严重程度)
- CVE-2022-36328:路径遍历缺陷允许经过身份验证的攻击者在任意目录上创建任意共享并泄露敏感文件、密码、用户和设备配置。(中等严重程度)
- CVE-2022-29840:服务器端请求伪造 (SSRF) 漏洞可能允许本地网络上的恶意服务器修改其 URL 以指向环回。(中等严重程度)
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Western Digital 从 My Cloud 引导过时的 NAS 设备
