Una vez más se ha detectado una vulnerabilidad grave en diferentes dispositivos de CloudOS de dispositivos NAs de Western Digital, concretamente los que funcionan con la versión de firmware 2.x (las versiones 04.x no están afectadas). Afortunadamente WD ya ha liberado la actualización que corrige el problema y se puede actualizar de forma automática o manual, siendo necesaria disponer de la 2.30.174 para estar a salvo del grave fallo de seguridad.
El fallo se resume en el mismo descubierto en sistemas DNS-320L de D-Link y que este fabricante parcheó en 2014 en su firmware 1.0.6 y que se centraba en la función multi_uploadify.php, posibilitando que un atacante subiese una petición usando el parámetro Filedat[0] y tuviese control sobre el NAS.
Los modelos afectados son los siguientes
MyCloud
MyCloudMirror
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
Mi Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud Cloud DL4100
A través de este link puedes verificar la versión de firmware de tu dispositivo y ver cómo actualizarlo en caso de ser vulnerable:
https://support.wdc.com/knowledgebase/answer.aspx?ID=10440#cloudos3
Fuente de la noticia aquí.
.png "English"){kind=small}
