Vulnerabilidade severa de dia zero descoberta no WD NAS baseado em My Cloud OS3

No final do mês passado, os proprietários dos armazenamentos de rede My Book Live da Western Digital enfrentaram um problema. Um ataque de hacker usando duas vulnerabilidades de software resultou em uma redefinição de fábrica nos dispositivos mencionados, perdendo todos os dados armazenados. Agora, o jornalista de segurança da informação Brian Krebs relatou a descoberta de outra vulnerabilidade de dia zero no WD NAS em execução no My Cloud OS3.

Imagem: Western Digital

Esta é uma vulnerabilidade de execução remota de código que está presente em todos os dispositivos WD NAS que executam o My Cloud OS3, um software que foi descontinuado recentemente. No ano passado, a vulnerabilidade foi descoberta pelos pesquisadores Radek Domanski e Pedro Ribeiro, que pretendiam apresentar os resultados de seus trabalhos na competição Pwn2Own. Poucos dias antes do evento, a WD lançou o My Cloud OS5, que corrigiu a vulnerabilidade. Isso privou os pesquisadores da oportunidade de participar da competição, já que uma de suas condições é a presença de um exploit viável para a vulnerabilidade na versão mais recente do software. No entanto, no início deste ano, eles postaram um vídeo no YouTube no qual descreveram como conseguiram identificar a vulnerabilidade.

Antes disso, os pesquisadores tentaram repetidamente entrar em contato com representantes da WD, mas a empresa não respondeu às suas solicitações. A WD confirmou o recebimento do relatório dos pesquisadores, acrescentando que naquela época a vulnerabilidade em questão já havia sido corrigida no My Cloud OS5. “As informações que recebemos confirmaram que a equipe de pesquisa planejava divulgar os detalhes da vulnerabilidade e nos pediu para contatá-los em caso de dúvidas. Não tínhamos perguntas, por isso não respondemos aos seus pedidos. Desde então, mudamos as regras de interação e estamos respondendo a cada denúncia para evitar tais mal-entendidos. Levamos os relatórios da comunidade de pesquisa de segurança muito a sério e conduzimos as investigações assim que eles chegam até nós ”, disse a fonte citando um porta-voz da WD.

Notavelmente, a WD não abordou a questão de saber se a vulnerabilidade no My Cloud OS3 foi corrigida em sua resposta. Em mensagem oficial da empresa datada de 12 de março de 2021, é dito que o suporte para esta versão do firmware foi descontinuado. Isso pode significar que os desenvolvedores não corrigiram a vulnerabilidade na versão antiga do software e não pretendem fazer isso. “Não forneceremos nenhuma atualização de segurança para o firmware My Clous OS3 no futuro. É altamente recomendável atualizar para o firmware do My Cloud OS5. Se o seu dispositivo não for compatível com a atualização para o My Cloud OS5, recomendamos a atualização para um dos outros dispositivos da família My Cloud que ofereça suporte para o My Cloud OS5 ”, disse a WD em um comunicado.

Os representantes da WD ainda não comentaram sobre este assunto. O patch criado por Domanski e Ribeiro pode ser usado para proteger dispositivos que executam o MyCloud OS3, mas precisará ser reiniciado após cada reinicialização do dispositivo. Você também pode restringir o acesso à Internet para reduzir a probabilidade de invasores tentarem explorar a vulnerabilidade no My Cloud OS3.