Western Digital は、My Cloud シリーズ デバイスの所有者に対し、デバイスが最新のファームウェア バージョン 5.26.202 にアップグレードされていない場合、2023 年 6 月 15 日以降クラウド サービスに接続できなくなると警告しています。
最新のファームウェアは、認証されていないコードの実行に悪用される可能性があるリモートから悪用可能な脆弱性に対処しているため、ストレージ メーカーは、ユーザーをサイバー攻撃から保護するためにこの抜本的な措置を講じることを決定しました。
「5.26.202 より前のファームウェアを搭載したデバイスは、2023 年 6 月 15 日以降、Western Digital のクラウド サービスに接続できなくなり、ユーザーはそれまで mycloud.com および My Cloud OS 5 モバイル アプリを通じてデバイス上のデータにアクセスできなくなります。デバイスを最新のファームウェアに更新します」とWestern Digital のサポート情報は説明しています。
「ユーザーは引き続きローカル アクセス経由でデータにアクセスできます。」
My Cloud は、Network Attached Storage (NAS) デバイスを Western Digital のクラウド サービスに接続するサービスで、ユーザーが Web からメディアを保存、アクセス、バックアップ、共有できるようにします。
とはいえ、デバイスまたはユーザーのメディア リポジトリへの不正アクセスは、重大なデータとプライバシーの侵害につながる可能性があります。
また、任意のコードが実行されると、デバイス上にランサムウェアが展開される可能性もあり、これが最近NAS デバイスに影響を与えることが何度も確認されています。
Western Digital は、次のデバイスのファームウェアを指定されたバージョンにアップグレードする必要があること、そうしないと My Cloud にアクセスできなくなることを所有者に警告しました。
- My Cloud PR2100 – 5.26.202 以降
- My Cloud PR4100 – 5.26.202 以降
- My Cloud EX4100 – 5.26.202 以降
- My Cloud EX2 Ultra – 5.26.202 以降
- My Cloud Mirror G2 – 5.26.202 以降
- My Cloud DL2100 – 5.26.202 以降
- My Cloud DL4100 – 5.26.202 以降
- My Cloud EX2100 – 5.26.202 以降
- My Cloud – 5.26.202 以降
- WD Cloud – 5.26.202 以降
- My Cloud ホーム – 9.4.1-101 以降
- My Cloud Home Duo – 9.4.1-101 以降
- SanDisk ibi – 9.4.1-101 以降
上記のファームウェア バージョンは2023 年 5 月 15 日にリリースされ、次の 4 つの脆弱性が修正されました。
- CVE-2022-36327 : 重大度 (CVSS v3.1: 9.8) のパス トラバーサルの欠陥により、攻撃者がファイル システムの任意の場所にファイルを書き込むことができ、My Cloud デバイス上で認証されていない (認証バイパス) リモート コードが実行されます。
- CVE-2022-36326 : 脆弱なデバイスに送信される特別に作成されたリクエストによって引き起こされ、DoS を引き起こす制御不能なリソース消費の問題。 (重大度は中程度)
- CVE-2022-36328 : パス トラバーサルの欠陥により、認証された攻撃者が任意のディレクトリに任意の共有を作成し、機密ファイル、パスワード、ユーザー、およびデバイス構成を窃取することが可能になります。 (重大度は中程度)
- CVE-2022-29840 : サーバー側リクエスト フォージェリ (SSRF) の脆弱性により、ローカル ネットワーク上の不正なサーバーがループバックを指すように URL を変更する可能性があります。 (重大度は中程度)
My Cloud デバイスのファームウェアのアップデートの詳細については、 Western Digital の手順を確認してください。
Comments