Western Digital corrige des vulnérabilités dans le firmware My Cloud OS 3 des systèmes NAS My Cloud EX2, My Cloud EX4 et My Cloud Mirror qui pourraient permettre à des attaquants d’obtenir un accès complet aux appareils.

Le fabricant ne décrit concrètement qu’une seule des vulnérabilités critiques (Server-Side Request-Forgery), qui permettrait aux pirates d’établir des connexions avec des requêtes manipulées dans le réseau local, de l’explorer et éventuellement d’y pénétrer davantage (CVE-2021-40438, CVSS 9.0, Risque critique).

Dans l’avis de sécurité, Western Digital explique que les failles de sécurité sont dues au serveur Apache utilisé. Les trois autres entrées CVE CVE-2021-39275 (CVSS 9.8, critique), CVE-2021-34798 (CVSS 7.5, élevé) et CVE-2021-36160 (CVSS 7.5, élevé) décrivent d’autres failles. Elles permettraient par exemple aux attaquants de déclencher un dépassement de mémoire tampon et d’exécuter ainsi du code potentiellement introduit. Les deux dernières vulnérabilités permettraient aux attaquants de faire planter le serveur dans certaines circonstances.

Probablement la dernière mise à jour

Les utilisateurs dont les appareils utilisent My Cloud OS 3 doivent s’activer. Pour les appareils de stockage WD qui supportent My Cloud OS 5, il faut passer à la nouvelle branche du firmware. Le fabricant propose un lien vers des instructions à ce sujet dans son message de sécurité. Pour les appareils avec la version 3, il n’y a plus d’accès à distance depuis la semaine dernière. Les données restent toutefois disponibles localement.

Pour les appareils Legacy obsolètes qui ne sont pas compatibles avec My Cloud OS 5, le support prendra fin le 15 avril 2022. À partir de cette date, il n’y aura plus de mises à jour de sécurité. Pour continuer à l’utiliser, le fabricant conseille de créer une sauvegarde, de déconnecter le stockage en réseau d’Internet et d’attribuer un mot de passe fort.

La mise à jour du firmware My Cloud OS 3 2.12.144 peut être téléchargée sur le site web d’assistance de Western Digital.