UPPDATERING: Western Digital har svarat på vår begäran om ett uttalande, som vi har publicerat nedan.

Säkerhetsforskare vid Securify har upptäckt en sårbarhet på Western Digitals My Cloud NAS-lådor som kan ge angripare fullständig kontroll över deras innehåll. Utnyttjandet kräver antingen lokalt nätverk eller internetåtkomst till en My Cloud-enhet för att kunna köras och kringgå NAS-boxens vanliga inloggningskrav.

Kallas CVE-2018-17153, kan buggen potentiellt också ge kapare möjligheten att köra kommandon som normalt kräver administrativa privilegier. När åtkomst har uppnåtts kan hackare visa, kopiera, radera eller skriva över alla filer som lagras på enheten.

Ditt moln kan pwned

Enligt Securify, "CGI-modulen network_mgr.cgi innehåller ett kommando som heter cgi_get_ipv6 som startar en admin session som är bunden till IP-adressen för den användare som gör begäran när den åberopas med parameterflaggan lika med 1. Senare påkallning av kommandon som skulle Normalt krävs administratörsbehörighet nu tillåtet om en angripare anger användarnamn = admin kaka."

Genom att skära igenom jargon betyder det väsentligen att WD My Cloud sätter upp en admin session kopplad till en IP-adress som ökar sårbarheten. Genom att helt enkelt lägga till kakan användarnamn = admin till en HTTP CGI-förfrågan som skickas via ett lokalt nätverk eller en internetanslutning kan vem som helst få tillgång till innehållet som är lagrat på NAS-rutan.

Securify höjde problemet med Western Digital i april, då felet först upptäcktes, men hörde aldrig tillbaka från företaget. Efter fem månaders tystnad från WD har Securify beslutat att offentligt avslöja sårbarheten.

Vi kontaktade Western Digital för en kommentar och företaget har bekräftat att en firmwareuppdatering kommer att distribueras inom kort för att åtgärda problemet. "Vi är på väg att slutföra en schemalagd firmwareuppdatering som löser det rapporterade problemet", svarade WD i ett mail. "Vi förväntar dig att lägga upp uppdateringen på vår tekniska supportplats på https://support.wdc.com/ inom några veckor."

  • Läs mer: WD My Passport Wireless SSD recension