Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/01/2018
Es descobrixen vulnerabilitats en NAS Western Digital MyCloud
La més greu de les vulnerabilitats descobertes, permetria prendre el control del dispositiu aprofitant el servei de HTTP d’administració remota.Les vulnerabilitats descobertes permetien entre altres coses el salt de restriccions per a pujar fitxers al dispositiu (CVE-2017-17560), atacs de tipus XSRF, injecció de codi i denegacions de servei o la revelació d’informació sensible del dispositiu.
Les vulnerabilitats han sigut corregides en la nova versió del producte.
Pots trobar més informació en el següent enllaç.
Sistemes Afectats:
Versiones anteriores 2.30.174
Referències:(CVE-2017-17560)
Solució:Actualitzar a la nova versió.
Notes:Más información:
WDMyCloud Multiple Vulnerabilities
http://gulftech.org/advisories/WDMyCloud%20Multiple%20Vulnerabilities/125
Western Digital My Cloud Update
https://blog.westerndigital.com/western-digital-cloud-update/
Multiple serious vulnerabilitys including Backdoor etc. as disclosed by gulftech.org
https://community.wd.com/t/multiple-serious-vulnerabilitys-including-backdoor-etc-as-disclosed-by-gulftech-org/219436/5
CVE-2017-17560 Detail
https://nvd.nist.gov/vuln/detail/CVE-2017-17560
Western Digital MyCloud - 'multi_uploadify' File Upload (Metasploit)
https://www.exploit-db.com/exploits/43356/
Exploiteers DEFCON25 - WD MyCloud
https://www.exploitee.rs/index.php/Western_Digital_MyCloud#.2Fjquery.2Fuploader.2Fmulti_uploadify.php_.28added_08.2F06.2F2017.29
https://download.exploitee.rs/file/generic/Exploiteers-DEFCON25.pdf