Western Digital Kritik Zafiyetler İçin Güncelleme Yayınladı

Western Digital, My Cloud OS yazılımında ortaya çıkan RCE (uzaktan kod yürütme) zafiyeti için güncelleme yayınladı. CVE-2022-23121 olarak izlenen zafiyet, NCC Group’un EDG ekip üyeleri tarafından istismar edildi ve My Cloud OS’de bulunan “Netatalk Service” adlı açık kaynak hizmetinden kaynaklanıyordu. CVSS v3 puanı 9,8 olan güvenlik açığı, uzaktaki saldırganların kimlik doğrulama gerektirmeden hedef cihazda “WD PR4100 NAS” üzerinde rastgele kod yürütmesine olanak tanıyor.

Netatalk hizmetinde güvenlik açığı

Netatalk, Apple Dosyalama Protokolünün (AFP) ücretsiz ve açık kaynaklı bir uygulaması ve Unix benzeri işletim sistemlerinin macOS istemcileri için dosya sunucuları olarak hizmet etmesine olanak tanıyor.

Western Digital, Netatalk’ı kaldırıyor

Western Digital, firmware update 5.19.117 hizmeti kullanımdan kaldırmaya ve My Cloud OS’den tamamen kaldırmaya karar verdi, bu nedenle WD NAS cihazlarının kullanıcılarının bu sürüme veya daha sonrasına yükseltmeleri öneriliyor.

Bu sürüm tarafından etkilenen cihazlar aşağıda listelenmiştir ve Netatalk hizmetini kullandığından tümü istismar edilebilir.

En son firmware sürümüne yükselttikten sonra Netatalk hizmeti artık kullanılamayacak, ancak SMB aracılığıyla ağ paylaşımlarına erişmeye devam edilebilecek.

Kaynak: bleepingcomputer.com

Exit mobile version