por 
Western Digital ha solucionado tres vulnerabilidades críticas, una con una gravedad de 9.8 y otra con una gravedad de 9.0, que permiten a los piratas informáticos robar datos o secuestrar dispositivos de almacenamiento de forma remota que ejecutan la versión 3 del sistema operativo My Cloud de la empresa.
CVE-2021-40438, debido a que se monitorea una de las vulnerabilidades, permite a los atacantes remotos sin autenticación reenviar solicitudes desde dispositivos a los servidores elegidos por los atacantes. Al igual que los otros dos defectos solucionados por Western Digital, reside en Apache HTTP Server versiones 2.4.48 y anteriores. Los atacantes ya lo han explotado con éxito para robar contraseñas cifradas de un sistema vulnerable, y el código de explotación está fácilmente disponible.
La vulnerabilidad con una clasificación de gravedad de 9 de un máximo de 10 resulta de una solicitud falsa del lado del servidor. Esta clase de error permite a los atacantes canalizar solicitudes maliciosas a sistemas internos que están detrás de firewalls o que son inaccesibles fuera de una red privada. Funciona engañando a las aplicaciones del lado del servidor para que realicen solicitudes HTTP a un dominio arbitrario elegido por el atacante.
Mientras tanto, CVE-2021-39275 tiene una puntuación de gravedad de 9,8 de una puntuación posible de 10. Permite a los atacantes remotos bloquear sistemas vulnerables y posiblemente ejecutar código malicioso. Dos vulnerabilidades adicionales, CVE-2021-36160 y CVE-2021-34798, permiten el bloqueo remoto de sistemas vulnerables.
Apache lanzó parches para las vulnerabilidades en octubre pasado. No está claro por qué el fabricante de discos tardó cuatro meses en incorporarlos a su sistema operativo de disco.
Muchas personas a menudo tardan en solucionar las vulnerabilidades en los dispositivos periféricos, como los dispositivos de almacenamiento conectados a la red, que ejecutan el sistema operativo My Cloud patentado de Western Digital. Sería un error en este caso. En junio, Western Digital aconsejó a los usuarios de un producto diferente, My Book Live, que desconectaran inmediatamente los dispositivos de Internet. Mientras tanto, la empresa respondió a lo que luego resultó ser la explotación masiva de una vulnerabilidad de día cero.
El año pasado, Western Digital estableció un programa para eliminar gradualmente el uso de My Cloud OS 3. A partir de esta semana, los usuarios del sistema operativo anterior con dispositivos compatibles con la versión actual 5 del sistema operativo tenían que actualizarse a la nueva versión. De lo contrario, los usuarios ya no podrán conectarse a dispositivos a través de Internet, recibir actualizaciones de seguridad ni recibir soporte técnico. El 15 de abril, el soporte para la versión 3 finalizará por completo. Los dispositivos que no sean compatibles con la versión 5 perderán en ese momento el acceso remoto, lo que significa que solo podrán acceder a los archivos en las redes locales.
“Recomendamos que todos los usuarios elegibles actualicen a My Cloud OS 5 de inmediato para beneficiarse de las últimas correcciones de seguridad”, dijo Western Digital en un aviso. Las instrucciones para actualizar están aquí.
Listar imagen siguiendo estas instrucciones / Flickr
