Apenas un par de semanas después de que un grupo de hacking forzara la eliminación de archivos en los dispositivos de almacenamiento en la red (NAS) My Book Live, un reporte de seguridad reveló algunos detalles sobre una vulnerabilidad día cero impactando en los productos Western Digital que ejecutan MyCloud OS 3.
La vulnerabilidad fue reportada por los investigadores de KrebsOnSecurity en 2020 y planeaban presentarla en el evento de hacking Pwn2Own, aunque los fabricantes corrigieron la falla con el lanzamiento de MyCloud OS 5.
No obstante, la falla sigue siendo un riesgo debido a que el sistema MyCloud OS 5 no está disponible para todos los dispositivos Western Digital, por lo que no cuentan con protecciones contra esta falla. La compañía también confirmó que no se enviarán más actualizaciones adicionales para MyCloud OS 3, por lo que los dispositivos que ejecutan el sistema operativo seguirán en riesgo de explotación. Por si no fuera suficiente, hace unos meses se reveló un exploit de prueba de concepto (PoC) capaz de abusar de esta falla.
Al respecto, Western Digital emitió un comunicado para mencionar: “la comunicación que recibimos confirmó que el equipo de investigación involucrado planeaba dar a conocer detalles de la vulnerabilidad y nos pidió que los contáramos con cualquier pregunta.”
Por el momento se desconoce si hay casos de explotación activa en escenarios reales, aunque la comunidad de la ciberseguridad ya prepara algunos lineamientos de recomendación para prevenir cualquier potencial intento de hacking. Si no desea esperar, lo más recomendable para los usuarios es adquirir un dispositivo capaz de ejecutar el sistema MyCloud OS 5, instalar el firmware actualizado o en casos críticos deshabilitar el acceso remoto a estas implementaciones.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.