Utilizando un NAS WD My Cloud PR4100 como banco de pruebas, Exploitee.rs ha podido dar con múltiples agujeros de seguridad gracias a los cuales es posible obtener acceso no autorizado de forma remota, abriendo un importante abanico de posibilidades a cualquier atacante. Pero lo que es más doloso: WD parcheó recientemente uno de los agujeros descubiertos durante el análisis de Exploitee.rs, introduciendo de paso una nueva vulnerabilidad con las mismas consecuencias.
Las vulnerabilidades descubiertas por Exploitee.rs afectan a la mayor parte o a todos los productos de la gama My Cloud. Esta es la lista facilitada por el sitio:
- My Cloud
- My Cloud Gen 2
- My Cloud Mirror
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
Desde Exploitee.rs señalan que normalmente intentan trabajar con los fabricantes cuando detectan que sus productos tienen problemas de seguridad, pero en este caso han decidido tomar medidas drásticas y publicar toda la información técnica para que todo el mundo pueda consultarla. Según Exploitee.rs, el motivo es la pobre "reputación de WD en la comunidad" a la hora de solucionar (o más bien ignorar) bugs de gran importancia y que pueden poner en peligro la seguridad de sus clientes. De esta forma, el sitio intenta como mínimo alertar a la comunidad para que retiren los NAS afectados de sus redes mientras se trabaja en algún tipo de solución.
