Western Digital MyCloud vol ongepatchte beveiligingslekken
Onderzoekers hebben in de My Cloud-netwerkschijven van harde schijffabrikant Western Digital 85 kwetsbaarheden gevonden waardoor een aanvaller in het ergste geval de apparaten op afstand kan overnemen. Beveiligingsupdates zijn nog niet beschikbaar, omdat Western Digital niet werd ingelicht.
Via de kwetsbaarheden kan een aanvaller de inlogcontrole omzeilen, eigen commando's uitvoeren en bestanden zonder rechten uploaden. Volgens onderzoekers van Exploitee.rs gaat het om meer dan 83 kwetsbaarheden om op afstand roottoegang te krijgen. De onderzoekers besloten Western Digital niet van te voren in te lichten omdat het bedrijf zo'n slechte reputatie onder beveiligingsonderzoekers heeft.
"Het negeren van deze bugs zou de kwetsbare apparaten langer online laten terwijl de responsible disclosure wordt gecoördineerd", aldus de onderzoekers. Door de kwetsbaarheden openbaar te maken hopen ze dat mensen de kwetsbare apparaten van de openbare gedeeltes van hun netwerk halen en de toegang waar mogelijk beperken. Ook hopen ze dat Western Digital nu sneller met updates komt. Een overzicht van alle kwetsbare modellen is op de website van Exploitee.rs te vinden.
De deur van het kruit opslag schuurtje klemt, dus een groep proactieve soldaten hebben het schuurtje in brand gestoken.
zou deze manier van disclosure uiteindelijk in het gezicht opblazen of loopt het met een sisser af?
uiteraard een kwalijke zaak dat WD zo slecht met meldingen om gaat, maar nog slechter van deze onderzoekers om niets vermoedende eindgebruikers zo in gevaar te brengen. Het product van Exploitee.rs is namelijk gevaarlijker dan dat van WD
(een vulnerability disclosure is in mijn ogen altijd gevaarlijker dan iedere RCE 0-day)
uiteraard een kwalijke zaak dat WD zo slecht met meldingen om gaat, maar nog slechter van deze onderzoekers om niets vermoedende eindgebruikers zo in gevaar te brengen. Het product van Exploitee.rs is namelijk gevaarlijker dan dat van WD
(een vulnerability disclosure is in mijn ogen altijd gevaarlijker dan iedere RCE 0-day)
Het word ook maar eens tijd dat fabrikanten op de blaren gaan zitten. Moeten ze maar niet zo een dienst leveren, doe het goed of doe het niet. Ik snap uberhaupt niet wat WD in cloud diensten moet, lijkt een beetje op een hersenchirurg die in het weekend bijklust als tandarts.
Het word ook maar eens tijd dat fabrikanten op de blaren gaan zitten. Moeten ze maar niet zo een dienst leveren, doe het goed of doe het niet. Ik snap uberhaupt niet wat WD in cloud diensten moet, lijkt een beetje op een hersenchirurg die in het weekend bijklust als tandarts.
overigens is mycloud geen cloud oplossing, maar gewoon een lokale NAS met de naam mycloud
de mycloud mirror van WD (Wat Duur) is de cloud dienst als je een online backup wil van je mycloud
Qua security, qua privacy en qua werkbaarheid met grote bestanden.
De kwaliteit van de harddisks en garantie policy bij WD schijven is gelukkig zeer goed (in het uitzonderlijke geval dat je er gebruik van moet maken).
Ja, ik wet het, Hitachi is nog beter qua levensduur. Maar helaas echt in onbetaalbaar in verhouding tot WD schijven.
Waar ik wel benieuwd naar ben is of iemand een goede nas weet die zonder extern internet kan (muv af en toe een update binnenhalen), dus alleen voor gebruik op een lokaal netwerk en ook andere poorten heeft voor snelle dataoverdracht om op in te prikken en en vooral ook geen installatie van Java op aangesloten machines vereist.
Dus degelijk materiaal dat je niet verplicht continue aan het internet hoeft te hangen, zonder cloud functionaliteit en dat vooral geen extra java vereist om dat ding uberhaupt te kunnen benaderen en te beheren (bespaar me java discussies, ik wil het niet verplicht op mijn systemen, basta).
Verder moet je, helaas tegenwoordig, altijd je gevoelige gegevens versleuteld opslaan - zeker ook op een backup.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.