Western Digital, 15 Haziran 2023’ten itibaren artık bulut hizmetlerine bağlanamayan My Cloud serisi cihazların sahiplerini, cihazların en son üretici yazılımı olan sürüm 5.26.202’ye yükseltilmemesi durumunda uyarıyor.
Depolama üreticisi, kullanıcılarını siber saldırılardan korumak için bu sert önlemi almaya karar verdi, çünkü en son aygıt yazılımı, kimliği doğrulanmamış kod yürütme gerçekleştirmek için kullanılabilecek, uzaktan istismar edilebilir bir güvenlik açığını ele alıyor.
“5.26.202’nin altındaki donanım yazılımına sahip cihazlar, 15 Haziran 2023’ten itibaren Western Digital bulut hizmetlerine bağlanamayacak ve kullanıcılar, şu tarihe kadar mycloud.com ve My Cloud OS 5 mobil uygulaması aracılığıyla cihazlarındaki verilere erişemeyecek. cihazı en son üretici yazılımına güncellerler,” diye açıklıyor bir Western Digital destek bülteni.
“Kullanıcılar, Yerel Erişim yoluyla verilerine erişmeye devam edebilir.”
My Cloud, Ağa Bağlı Depolama (NAS) cihazlarını Western Digital’in bulut hizmetine bağlayan ve kullanıcıların web’den medya depolamasına, erişmesine, yedeklemesine ve paylaşmasına olanak tanıyan bir hizmettir.
Bununla birlikte, cihazlara veya kullanıcıların medya havuzlarına yetkisiz erişim, ciddi veri ve gizlilik ihlallerine neden olabilir.
Ayrıca, keyfi kod yürütme, yakın geçmişte NAS cihazlarını birçok kez etkilediğini gördüğümüz fidye yazılımlarının cihazlara dağıtılmasına bile yol açabilir.
Western Digital, sahiplerine aşağıdaki cihazların ürün yazılımlarını belirtilen sürümlere yükseltmeleri gerektiği, aksi takdirde My Cloud’a artık erişemeyecekleri konusunda uyarıda bulundu:
- My Cloud PR2100 – 5.26.202 veya sonrası
- My Cloud PR4100 – 5.26.202 veya sonrası
- My Cloud EX4100 – 5.26.202 veya sonrası
- My Cloud EX2 Ultra – 5.26.202 veya sonrası
- My Cloud Mirror G2 – 5.26.202 veya sonrası
- My Cloud DL2100 – 5.26.202 veya sonrası
- My Cloud DL4100 – 5.26.202 veya sonrası
- My Cloud EX2100 – 5.26.202 veya sonrası
- My Cloud – 5.26.202 veya sonrası
- WD Cloud – 5.26.202 veya üstü
- My Cloud Home – 9.4.1-101 veya sonrası
- My Cloud Home Duo – 9.4.1-101 veya sonrası
- SanDisk ibi – 9.4.1-101 veya üstü
Yukarıdaki ürün yazılımı sürümleri, aşağıdaki dört güvenlik açığını gidererek 15 Mayıs 2023’te yayınlandı:
- CVE-2022-36327: Bir saldırganın dosyaları rasgele dosya sistemi konumlarına yazmasına izin vererek, My Cloud aygıtlarında kimliği doğrulanmamış (kimlik doğrulama atlaması) uzaktan kod yürütülmesine yol açan kritik düzeyde (CVSS v3.1: 9.8) yol geçişi kusuru.
- CVE-2022-36326: Savunmasız cihazlara gönderilen özel hazırlanmış istekler tarafından tetiklenen ve DoS’a neden olan kontrolsüz kaynak tüketimi sorunu. (orta şiddette)
- CVE-2022-36328: Kimliği doğrulanmış bir saldırganın rasgele dizinlerde rasgele paylaşımlar oluşturmasına ve hassas dosyalara, parolalara, kullanıcılara ve cihaz yapılandırmalarına sızmasına olanak tanıyan yol geçişi kusuru. (orta şiddette)
- CVE-2022-29840: Yerel ağdaki hileli bir sunucunun URL’sini geri döngüyü işaret edecek şekilde değiştirmesine izin verebilecek Sunucu Tarafı İstek Sahtekarlığı (SSRF) güvenlik açığı. (orta şiddette)
My Cloud aygıtınızdaki üretici yazılımını güncelleme hakkında daha fazla bilgi edinmek için Western Digital’in talimatlarına bakın.