Una vulnerabilidad conocida por WD desde hace un año expone los datos de los NAS My Cloud

Los propietarios de un dispositivo de almacenamiento en red (NAS) de Western Digital deberán estar atentos a la próxima actualización de firmware si quieren mantener seguros sus archivos. El experto en seguridad informática Remco Vermeulen ha divulgado un grave bug que permite lanzar un ataque de escalada de privilegios para esquivar la contraseña de administrador, pudiendo así tomar el control del aparato y todos los datos en su interior.

En un principio las unidades afectadas incluyen modelos EX2, EX4 y Mirror. Se excluye la gama doméstica My Cloud Home. Estos productos ya fueron motivo de alarma entre usuarios y administradores de red en marzo de 2017, cuando se dio a conocer la existencia de varios agujeros de seguridad importantes.


La revelación no se producido con malicia. Según Vermeulen, este bug "fácil" de explotar fue notificado inmediatamente a WD en abril de 2017, pero el fabricante no ha tomado medidas al respecto. De hecho, no respondió en ningún momento. Dada la gravedad del asunto Vermeulen dio un margen de tiempo muy superior a los 90 días habituales antes de comunicar la existencia del fallo. Más de un año después, WD sigue sin parchear los NAS afectados.

Mientras tanto, un grupo de investigadores ajeno ya ha publicado su propio exploit. También contactaron con WD e incluso llegaron a publicar sus hallazgos en la conferencia DEFCON 25, solo para obtener la misma (falta de) respuesta por parte de WD.

Según ha podido saber TechCrunch, WD ha reconocido la existencia del fallo y se encuentra "en el proceso de finalizar una actualización de firmware programada que resolver el problema reportado" en cuestión de semanas. Lo que el fabricante no ha aclarado es por qué ha tardado tanto tiempo en tomar cartas para atajar una vulnerabilidad tan grave que de acuerdo con Vermeulen solo se puede resolver temporalmente desconectando las unidades.

Fuente: TechCrunch