Você tem um NAS da Western Digital? É bom ficar atento, então: o Exploitee.rs, grupo especializado em segurança, afirma que quase todos os produtos atuais da linha My Cloud têm vulnerabilidades bem sérias. O pior é que a principal delas chegou a ser corrigida, mas essa correção também veio com falha.

Para comprovar o problema, a equipe do Exploitee.rs usou um NAS My Cloud Pro Series PR4100. As falhas estão em scripts mal implementados, basicamente. Por meio deles, a empresa conseguiu acessar a unidade remotamente usando alguns comandos na interface web.

O problema é mesmo grave: o sistema acaba possibilitando acesso remoto sem login, permitindo que o invasor não só capture arquivos que deveriam estar protegidos, mas também altere dados ou utilize o equipamento para armazenar malwares, por exemplo.

A Western Digital liberou uma atualização de firmware que corrige a vulnerabilidade que permite ao atacante acessar a unidade pulando a etapa de login. Só que essa correção também tem uma falha que dá acesso não autorizado ao sistema.

Segundo o Exploitee.rs, entre os equipamentos vulneráveis estão os seguintes modelos:

  • My Cloud
  • My Cloud Gen 2
  • My Cloud Mirror
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Em circunstâncias como essa, o ideal é que o grupo notifique a companhia responsável, aguarde a liberação de correções e só então divulgue o problema. Assim, os usuários que ainda não atualizaram o equipamento podem fazê-lo imediatamente.

No entanto, o Exploitee.rs afirma que fez a divulgação antecipadamente para pressionar a Western Digital a liberar as correções o quanto antes. Segundo a equipe que estudou as falhas, a fabricante não costuma tratar questões de segurança com a devida importância.

A Western Digital ainda não se pronunciou sobre o assunto.

Com informações: Engadget

Leia | 4 coisas sobre segurança do Wi-Fi que você precisa saber

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.