MyCloud NAS-systemen van fabrikant Western Digital zijn door een reeks van kwetsbaarheden in het onderliggende besturingssysteem op afstand over te nemen, zo waarschuwen beveiligingsonderzoekers. Onlangs werden MyBook Live-systemen van WD het doelwit van een aanval waarbij de data van gebruikers werd gewist.

Onderzoekers Radek Domanski en Pedro Ribeiro ontdekten verschillende kwetsbaarheden in MyCloud OS 3, het besturingssysteem van MyCloud NAS-systemen, die het mogelijk voor een ongeauthenticeerde aanvaller maken om code als root uit te voeren en een permanente backdoor op het NAS-systeem te installeren. De onderzoekers wilden hun bevindingen vorig jaar november demonstreren tijdens de Pwn2Own-hackwedstrijd in Tokio.

Een aantal dagen voor het evenement lanceerde Western Digital MyCloud OS 5, waarin de kwetsbaarheid niet aanwezig is. Daardoor konden ze niet meer met hun inzending aan Pwn2Own meedoen, aangezien alleen demonstraties tegen de laatste versie van de software worden geaccepteerd. In februari van dit jaar demonstreerden de onderzoekers hun aanval in YouTube-video. Ook ontwikkelden ze een onofficiële patch voor het probleem.

Volgens de onderzoekers reageerde Western Digital niet op hun bugmelding. In een reactie tegenover it-journalist Brian Krebs laat WD weten dat het de bugmelding na Pwn2own heeft ontvangen, maar dat de kwetsbaarheid al in MyCloud OS 5 was verholpen. Het is echter onduidelijk of het beveiligingslek in MyCloud OS 3 is opgelost. In maart van dit jaar waarschuwde WD dat deze versie van het besturingssysteem niet meer wordt ondersteund. Gebruikers werd opgeroepen om te upgraden naar OS 5.

Domanski en Ribeiro stellen dat OS 5 belangrijke features mist die wel in OS 3 aanwezig zijn, waardoor sommige gebruikers er misschien voor kiezen om niet te upgraden. Om eventueel misbruik te voorkomen wordt deze gebruikers aangeraden hun NAS niet direct vanaf het internet toegankelijk te maken.