Báo cáo từ nhóm bảo mật Exploitee.rs nói rằng, một số lỗ hổng bảo mật chưa được vá trong hầu hết các phiên bản của dòng ổ đĩa mạng My Cloud, cho phép kẻ tấn công có thể xâm nhập từ xa mà không cần đăng nhập, chèn lệnh của riêng mình và tải lên các tập tin không cần sự cho phép.
Ngoài ra, các lệnh thực thi được thực hiện thông qua giao diện web cũng có thể cho phép kẻ gian truy cập vào hệ điều hành mà không cần phải có khóa đăng nhập hệ thống.
Báo cáo ban đầu cho biết, các ổ đĩa đang bị ảnh hưởng bởi lỗi bảo mật nói trên bao gồm những dòng sản phẩm: My Cloud, My Cloud Gen 2, My Cloud Mirror, My Cloud PR2100 / PR4100, My Cloud EX2 Ultra, My Cloud EX2 / EX4 / EX2100 / EX4100 / DL2100 / DL4100. Trong đó, có một số sản phẩm đang bán tại thị trường Việt Nam.
Một số thông tin cho biết Western Digital đã tiến hành sửa chữa lỗ hổng bỏ qua đăng nhập nhờ bản cập nhật firmware mới, nhưng quá trình cập nhật vẫn chưa được diễn ra.
Exploitee.rs giải thích rằng họ tiến hành công khai lỗ hổng đến cộng đồng nhằm mục đích muốn WD tạo niềm tin đến với khách hàng. Giả sử WD không chú ý đến mức độ nghiêm trọng của lỗ hổng bảo mật, việc công bố công khai này là cách gây sức ép buộc WD phải có hành động.
Dù bất cứ lý do nào, nếu không thực sự cần thiết, người dùng hiện nên tắt khả năng truy cập internet của My Cloud.
Bình luận (0)