Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/01/2018
Se descubren vulnerabilidades en NAS Western Digital MyCloud
La más grave de las vulnerabilidades descubiertas, permitiría tomar el control del dispositivo aprovechando el servicio de HTTP de administración remota.Las vulnerabilidades descubiertas permitían entre otras cosas el salto de restricciones para subir ficheros al dispositivo (CVE-2017-17560), ataques de tipo XSRF, inyección de código y denegaciones de servicio o la revelación de información sensible del dispositivo.
Las vulnerabiilidades han sido corregidas en la nueva versión del producto.
Puedes encontrar más información en el siguiente enlace.
Sistemas Afectados:Versiones anteriores 2.30.174
Referencias:(CVE-2017-17560)
Solución:Actualizar a la nueva versión
Notas:Más información:
WDMyCloud Multiple Vulnerabilities
http://gulftech.org/advisories/WDMyCloud%20Multiple%20Vulnerabilities/125
Western Digital My Cloud Update
https://blog.westerndigital.com/western-digital-cloud-update/
Multiple serious vulnerabilitys including Backdoor etc. as disclosed by gulftech.org
https://community.wd.com/t/multiple-serious-vulnerabilitys-including-backdoor-etc-as-disclosed-by-gulftech-org/219436/5
CVE-2017-17560 Detail
https://nvd.nist.gov/vuln/detail/CVE-2017-17560
Western Digital MyCloud - 'multi_uploadify' File Upload (Metasploit)
https://www.exploit-db.com/exploits/43356/
Exploiteers DEFCON25 - WD MyCloud
https://www.exploitee.rs/index.php/Western_Digital_MyCloud#.2Fjquery.2Fuploader.2Fmulti_uploadify.php_.28added_08.2F06.2F2017.29
https://download.exploitee.rs/file/generic/Exploiteers-DEFCON25.pdf