Western Digital ha parcheado tres vulnerabilidades críticas -una con una calificación de gravedad de 9,8 y otra de 9,0- que hacen posible que los hackers roben datos o secuestren remotamente los dispositivos de almacenamiento que ejecutan la versión 3 del sistema operativo My Cloud de la compañía.
CVE-2021-40438, como se rastrea una de las vulnerabilidades, permite a los atacantes remotos sin autenticación hacer que los dispositivos reenvíen las peticiones a los servidores que el atacante elija. Al igual que los otros dos fallos corregidos por Western Digital, reside en las versiones 2.4.48 y anteriores del servidor HTTP Apache. Los atacantes ya lo han explotado con éxito para robar contraseñas cifradas de un sistema vulnerable, y el código de explotación está fácilmente disponible.
La vulnerabilidad, con una calificación de gravedad de 9 sobre un máximo de 10, tiene su origen en una Falsificación de solicitud del lado del servidor. Este tipo de error permite a los atacantes canalizar peticiones maliciosas a sistemas internos que están detrás de cortafuegos o que no son accesibles fuera de una red privada. Funciona induciendo a las aplicaciones del lado del servidor a realizar peticiones HTTP a un dominio arbitrario de la elección del atacante.
CVE-2021-39275, por su parte, tiene una calificación de gravedad de 9,8 sobre una puntuación posible de 10. Permite a los atacantes remotos bloquear los sistemas vulnerables y posiblemente ejecutar código malicioso. Otras dos vulnerabilidades, CVE-2021-36160 y CVE-2021-34798, permiten bloquear remotamente los sistemas vulnerables.
Apache publicó parches para las vulnerabilidades el pasado octubre. No está claro por qué el fabricante de discos tardó cuatro meses en incorporarlos a su sistema operativo.
El año pasado, Western Digital estableció un calendario para eliminar progresivamente el uso de My Cloud OS 3. A partir de esta semana, los usuarios del antiguo sistema operativo con dispositivos compatibles con la actual versión 5 del sistema operativo debían actualizarse a la nueva versión. Si no lo hacían, los usuarios ya no podrían conectarse a los dispositivos a través de Internet, recibir actualizaciones de seguridad u obtener asistencia técnica. El 15 de abril, la compatibilidad con la versión 3 finalizará por completo. Los dispositivos que no sean compatibles con la versión 5 para entonces perderán el acceso remoto, es decir, sólo podrán acceder a los archivos a través de las redes locales.
“Recomendamos a todos los usuarios elegibles que actualicen a My Cloud OS 5 inmediatamente para beneficiarse de las últimas correcciones de seguridad”, afirmó Western Digital en un aviso. Las instrucciones para la actualización están aquí.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Tecnología
Laura Andrade
Laura Andrade es una periodista freelance especializada en la investigación de la electrónica de consumo, especialmente de smartphones, tabletas y ordenadores. Actualmente participa en varios proyectos en los que se ha encargado de escribir sobre lanzamientos de nuevos productos digitales, aplicaciones, sitios y servicios para publicaciones impresas o en línea. Está constantemente estudiando las últimas tecnologías para estar siempre al día.
