Western Digital avertit les propriétaires d’appareils de la série My Cloud qui ne peuvent plus se connecter aux services cloud à partir du 15 juin 2023, si les appareils ne sont pas mis à niveau vers le dernier micrologiciel, version 5.26.202.
Le fabricant de stockage a décidé de prendre cette mesure drastique pour protéger ses utilisateurs contre les cyberattaques, car le dernier micrologiciel corrige une vulnérabilité exploitable à distance qui peut être exploitée pour exécuter du code non authentifié.
« Les appareils dotés d’un micrologiciel inférieur à 5.26.202 ne pourront pas se connecter aux services cloud Western Digital à partir du 15 juin 2023, et les utilisateurs ne pourront pas accéder aux données sur leur appareil via mycloud.com et l’application mobile My Cloud OS 5 jusqu’à ce que ils mettent à jour l’appareil avec le dernier micrologiciel », explique un bulletin d’assistance de Western Digital.
« Les utilisateurs peuvent continuer à accéder à leurs données via Local Access. »
My Cloud est un service qui connecte les périphériques de stockage en réseau (NAS) au service cloud de Western Digital, permettant aux utilisateurs de stocker, d’accéder, de sauvegarder et de partager des médias à partir du Web.
Cela dit, un accès non autorisé aux appareils ou aux référentiels multimédias des utilisateurs pourrait entraîner de graves violations des données et de la vie privée.
De plus, l’exécution de code arbitraire peut même conduire au déploiement de ransomwares sur les appareils, ce que nous avons vu affecter les appareils NAS à plusieurs reprises dans un passé récent.
Western Digital a alerté les propriétaires que les appareils suivants doivent mettre à niveau leur micrologiciel vers les versions désignées, sinon ils ne pourront plus accéder à My Cloud :
- My Cloud PR2100 – 5.26.202 or later
- My Cloud PR4100 – 5.26.202 or later
- My Cloud EX4100 – 5.26.202 or later
- My Cloud EX2 Ultra – 5.26.202 or later
- My Cloud Mirror G2 – 5.26.202 or later
- My Cloud DL2100 – 5.26.202 or later
- My Cloud DL4100 – 5.26.202 or later
- My Cloud EX2100 – 5.26.202 or later
- My Cloud – 5.26.202 or later
- WD Cloud – 5.26.202 or later
- My Cloud Home – 9.4.1-101 or later
- My Cloud Home Duo – 9.4.1-101 or later
- SanDisk ibi – 9.4.1-101 or later
Les versions de firmware ci-dessus ont été publiées le 15 mai 2023, corrigeant les quatre vulnérabilités suivantes :
- CVE-2022-36327 : Faille de traversée de chemin de gravité critique (CVSS v3.1 : 9.8) permettant à un attaquant d’écrire des fichiers dans des emplacements de système de fichiers arbitraires, entraînant l’exécution de code à distance non authentifié (contournement d’authentification) sur les appareils My Cloud.
- CVE-2022-36326 : problème de consommation incontrôlée des ressources déclenché par des requêtes spécialement conçues envoyées à des appareils vulnérables, provoquant un DoS. (gravité moyenne)
- CVE-2022-36328 : faille de traversée de chemin permettant à un attaquant authentifié de créer des partages arbitraires sur des répertoires arbitraires et d’exfiltrer des fichiers sensibles, des mots de passe, des utilisateurs et des configurations d’appareils. (gravité moyenne)
- CVE-2022-29840 : Vulnérabilité SSRF (Server-Side Request Forgery) qui pourrait permettre à un serveur non autorisé sur le réseau local de modifier son URL pour pointer vers le bouclage. (gravité moyenne)
Pour en savoir plus sur la mise à jour du firmware de votre appareil My Cloud, consultez les instructions de Western Digital.