Cabecera-v2-web.jpg

Western Digital corrige un error crítico de los dispositivos NAS My Cloud


28/03/2022

Western Digital ha publicado una actualización de su producto NAS My Cloud, que subsana una vulnerabilidad crítica que permitiría a un atacante no autenticado realizar ejecución remota de código (RCE) con privilegios de usuario root.

La vulnerabilidad CVE-2021-44142 de severidad crítica, con una puntuación asignada de 9.9. Esta vulnerabilidad se debe a una falla de programación en la lectura y escritura del heap de memoria, esto es debido a un error de límite al procesar los metadatos de EA al abrir archivos de SMBD dentro del módulo VFS Samba (vfs_fruit). Un atacante no autenticado podría explotar esta vulnerabilidad y realizar ejecución remota de código (RCE) en el sistema afectado.

La explotación requiere que el atacante no autenticado tenga permitido el acceso de escritura a los atributos extendidos del archivo. Esta vulnerabilidad se solucionó eliminando el módulo VFS "fruit" de la lista de objetos VFS configurados y cambiando las configuraciones de compatibilidad con EA.

Los softwares afectados son:

  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX4100
  • My Cloud EX2 Ultra
  • My Cloud Mirror Gen 2
  • My Cloud DL2100
  • My Cloud DL4100
  • My Cloud EX2100
  • My Cloud
  • WD Cloud

Recomendamos instalar las actualizaciones correspondientes, mediante el siguiente enlace:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11