My Cloud Vulnerabilidad “Sobrepasar el Inicio de sesión” (3/7/17)

#1

Western Digital está al tanto de los reportes recientes de vulnerabilidades en su familia de productos My Cloud, incluyendo relacionados con vulnerabilidades reportadas anteriormente por Steven Campbell (https://www.stevencampbell.info/2016/12/command-injection-in-western-digital -mycloud-nas / 24) que se abordaron con la actualización de firmware disponible el 20 de diciembre de 2016 (https://support.wdc.com/downloads.aspx?lang=en#firmware44). Estamos revisando el reciente informe exploitee.rs y basado en una evaluación preliminar, un cambio para abordar un exploitee.rs informó de que el problema ya se ha hecho en la actualización de diciembre. Además, si determinamos que el informe ha identificado nuevos problemas, nos ocuparemos de ellos en breve dependiendo de la gravedad de los problemas, la existencia, si es el caso, de ataques en curso y la posible interrupción del cliente de una actualización no programada. Recomendamos que los usuarios de My Cloud se pongan en contacto con nuestro equipo de servicio al cliente en https://support.wdc.com/support/case.aspx10 si tienen más preguntas; Encuentre actualizaciones de firmware en https://support.wdc.com/downloads.aspx?lang=en#firmware44; Y asegúrese de que sus dispositivos My Cloud estén configurados para permitir actualizaciones automáticas de firmware.

Western Digital aprecia y alienta la revelación de vulnerabilidades potenciales descubiertas por investigadores de seguridad como Steven Campbell bajo el modelo de divulgación responsable practicado por la comunidad de seguridad. Este modelo equilibrado reconoce las contribuciones de los investigadores de seguridad, permite a Western Digital para investigar y resolver las preocupaciones, y lo que es más importante, protege a nuestros clientes de la divulgación de exploits antes de un parche está disponible. Como lo demuestra nuestro trabajo con varios investigadores como Steven Campbell, Versprite y otros, trabajamos en estrecha colaboración con la comunidad de seguridad para abordar los problemas y satisfacer con seguridad las necesidades de nuestros clientes. Si los explotadores hubieran seguido este modelo como otros investigadores de seguridad y nos han contactado con ese espíritu antes de publicar su informe, habrían sabido de nuestro trabajo actual y avanzar hacia una resolución en este caso.

[editado]

Además de la cuestión de desvío de inicio de sesión que abordamos anteriormente y que fue reportado tanto por Steven Campbell como por exploitee.rs, hemos diseñado una solución para el nuevo bypass de inicio de sesión identificado por exploitee.rs. Actualmente estamos probando internamente esta solución y anticipamos que será lanzada pronto. Ese lanzamiento también contendrá correcciones programadas, incluso para los problemas de inyección de comandos no autenticados previamente y responsablemente identificados por los investigadores de seguridad SEC Consult y Securify y recientemente divulgados por exploitee.rs.

closed #2