Недавно стало известно, что ряд сетевых накопителей Western Digital серии My Cloud имеют встроенный бэкдор, открывающий root-доступ к устройству. Компания поспешила прокомментировать 3DNews данные сведения, подтвердив, что пользователи, не установившие ещё последнюю версию прошивки 2.30.172 от 16 ноября, действительно остаются подвержены опасности неавторизированного доступа к их данным.
«Команда WD продолжает работу над тем, чтобы не допустить подобных случаев в будущем», — говорится в заявлении компании.
Кстати, в сведениях о прошивке сообщается о решении не только упомянутой проблемы: «критические уязвимости безопасности, потенциально позволяющие производить неавторизированное удаление файлов, выполнение команд и обходную авторизацию» — но и проблемы CVE-2017-7494, известной как SambaCry и обнаруженной ещё в мае прошлого года: «вредоносные клиенты могут закачать и заставить SMB-сервер исполнить общую библиотеку из доступной для записи общей папки».
В случае затруднений со скорейшей установкой прошивки пользователям рекомендуется установить пароль на локальную сеть или ограничить к ней доступ, а также отключить облачный сервис Dashboard Cloud Access и функцию переадресации портов. Настройки доступа к облачному сервису находятся в разделе «Настройки» — «Общие» — «Доступ к облаку».
Интернет-доступом к сетевому накопителю обладают следующие модели NAS: My Cloud EX2, EX4, EX2100, EX4100, EX2 Ultra, DL2100, DL4100, PR2100, PR4100, My Cloud Mirror и Mirror Gen 2.
Переадресация портов HTTP-соединений должна быть отключена как на устройстве «My Cloud», так и на маршрутизаторе. На устройствах My Cloud функция переадресации портов доступна в разделе «Настройки» — «Сеть» — «Переадресация портов» и может использоваться только, если маршрутизатор поддерживает uPnP-стандарт.
Источник: 3DNews
