Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades críticas en Western Digital My Cloud OS 5, una solución para la creación de copias de seguridad y gestión de grandes volúmenes de contenido de múltiples computadoras en una red privada particular. Según el reporte, la explotación exitosa de estas fallas pondría en riesgo los sistemas afectados.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntuaciones asignadas según el Common Vulnerability Scoring System (CVSS).
CVE-2022-0194: Un error de límite dentro de la función ad_addcomment permitiría a los actores de amenazas remotos no autenticados desencadenar un desbordamiento de búfer basado en pila y ejecutar código arbitrario en el sistema vulnerable.
Esta se considera una falla de alta severidad y recibió un puntaje CVSS de 8.5/10 y reside en las siguientes versiones de My Cloud OS:
- My Cloud PR2100: Todas las versiones
- My Cloud PR4100: Todas las versiones
- My Cloud EX4100: Todas las versiones
- My Cloud EX2 Ultra: Todas las versiones
- My Cloud Mirror Gen 2: Todas las versiones
- My Cloud DL2100: Todas las versiones
- My Cloud DL4100: Todas las versiones
- My Cloud EX2100: Todas las versiones
- My Cloud: Todas las versiones
- WD Cloud: Todas las versiones
- My Cloud Home: Todas las versiones
- My Cloud OS 5: Versiones anteriores a 5.19.117, 7.16-220
CVE-2021-44142: Por otra parte, un error de límite al procesar metadatos de EA al abrir archivos en smbd dentro del módulo VFS Samba permitiría a los actores de amenazas remotos capaces de escribir en los atributos extendidos del archivo desencadenar una escritura fuera de los límites y ejecutar código arbitrario con privilegios de usuario root.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 8.6/10. Según el reporte, la falla reside en los siguientes productos y versiones:
- WD Cloud: Todas las versiones
- My Cloud: Todas las versiones
- My Cloud EX2100: Todas las versiones
- My Cloud DL4100: Todas las versiones
- My Cloud DL2100: Todas las versiones
- My Cloud Mirror Gen 2: Todas las versiones
- My Cloud EX4100: Todas las versiones
- My Cloud EX2 Ultra: Todas las versiones
- My Cloud PR4100: Todas las versiones
- My Cloud PR2100: Todas las versiones
- My Cloud OS 5: Versiones anteriores a v5.21.104
Si bien estas fallas pueden ser explotadas por actores de amenazas no autenticados a través de Internet, hasta el momento no se han detectado intentos de explotación activa relacionados con estos reportes. Aún así, Western Digital recomienda a los usuarios de implementaciones afectadas corregir las fallas a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.