このほどGulfTechに掲載された記事「WDMyCloud Multiple Vulnerabilities|GulfTech Research and Development」が、Western Digitalの複数のNASプロダクトに特定のパスワードを使って認証を回避できる脆弱性をはじめ、複数のセキュリティ脆弱性が存在すると伝えた。調査の結果、ユーザー名「mydlinkBRionyg」およびパスワード「abc12345cba」により、管理者権限のユーザーとしてログインできると説明がある。
-
逆アセンブルして模擬的に作成されたソースコードの一部 - 資料: GulfTech
この脆弱性が存在するとされているプロダクトは次のとおり。ファームウェアのバージョンが2.30.165およびこれよりも前のバージョンだった場合に問題が存在するとされている。
- MyCloud
- MyCloudMirror
- My Cloud Gen 2
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
ファームウェアバージョン2.30.174では対象の脆弱性が修正されている。該当するプロダクトおよびバージョンを使っている場合は、問題が修正されたバージョンへアップグレードすることが望まれる。
