Western Digital の決断:アップデートしない NAS デバイスの My Cloud 接続を拒否

Western Digital boots outdated NAS devices off of My Cloud

2023/06/16 BleepingComputer — Western Digital は、同社の My Cloud シリーズ・ユーザーに対して、最新ファームウェア Ver 5.26.202 へのアップグレードが行われない場合は、2023年6月15日からクラウド・サービスに接続できなくなると警告している。このストレージ・メーカーは、未認証の脅威アクターにリモート・コード実行を許す脆弱性に対して、最新のファームウェアで対応したことで、ユーザーをサイバー攻撃から保護するために抜本的な対策をとるという判断を下した。


Western Digital のサポート速報には、「Ver 5.26.202 以下のファームウェアのデバイスは、2023年6月15日から Western Digital のクラウド・サービスに接続できなくなる。つまり、ユーザーが最新のファームウェアにアップデートするまで、mycloud.com へのデータ・アクセスおよび、My Cloud OS 5 モバイル・アプリを介したデータ・アクセスが不可能になる。ただし、Local Access 経由で、データにアクセスし続けることが可能である」と説明している。

My Cloud は、NAS デバイスを Western Digital クラウドに接続するサービスであり、Web を介したメディアの保存/アクセス/バックアップ/共有などの機能がユーザーに提供される。

そのため、デバイスやユーザーのメディア・リポジトリに不正アクセスが生じると、データやプライバシーの深刻な侵害につながる可能性が生じる。また、任意のコードが実行されることで、ランサムウェアがデバイス上に展開される可能性もあり、過去に何度も NAS デバイスへの影響が確認されている。

Western Digital は、以下のデバイスのファームウェアを指定されたバージョンにアップグレードしない場合には、My Cloud にアクセスできなくなるとして、所有者に注意を促している:

  • My Cloud PR2100 – 5.26.202 or later
  • My Cloud PR4100 – 5.26.202 or later
  • My Cloud EX4100 – 5.26.202 or later
  • My Cloud EX2 Ultra – 5.26.202 or later
  • My Cloud Mirror G2 – 5.26.202 or later
  • My Cloud DL2100 – 5.26.202 or later
  • My Cloud DL4100 – 5.26.202 or later
  • My Cloud EX2100 – 5.26.202 or later
  • My Cloud – 5.26.202 or later
  • WD Cloud – 5.26.202 or later
  • My Cloud Home – 9.4.1-101 or later
  • My Cloud Home Duo – 9.4.1-101 or later
  • SanDisk ibi – 9.4.1-101 or later

上記のファームウェアは、2023年5月15日にリリースされ、以下の4つの脆弱性が修正している:

CVE-2022-36327 (CVSS 9.8):パストラバースの欠陥により、攻撃者に対してファイル・システム上の任意の場所へのファイル書き込みを許す。My Cloud デバイスで認証されていない、リモートコード実行につながる。

CVE-2022-36326 (Medium): 脆弱なデバイスに送信された、特別に細工されたリクエストにより引き起こされる、制御不能なリソース消費の問題により、DoS 状態に陥る恐れがある。

CVE-2022-36328 (Medium):パストラバーサルの欠陥により、任意のディレクトリ上での任意の共有作成を、認証された攻撃者に許してしまう。その結果として、機密ファイル/パスワード/ユーザー/デバイス設定などの情報を流出させる恐れがある。

CVE-2022-29840 (Medium):SSRF (Server-Side Request Forgery) の脆弱性により、ローカル・ネットワーク上の不正なサーバが指す URL により、ループバックを引き起こされる可能性が生じる。

My Cloud デバイスのファームウェアのアップデートに関する詳細は、Western Digital の説明書で確認してほしい。

Western Digital の My Cloud ですが、ようやく4つの脆弱性が特定され、5月15日付けで新たなファームウェアがリリースされたとのことです。この問題については、以下のような経緯で報道され、また、何日間も My Cloud がシャットダウンされるという事態にも陥っていましたが、まずは、FIX してよかったです。そして、古いバージョンの My Cloud は、WD のクラウドに接続させないという判断も、致し方ないのだと思います。

2023/05/07:WD へのデータ侵害:顧客データが盗まれたことを認める
2023/05/01:WD のデータ侵害:ALPHV からの脅迫がエスカレート
2023/04/15:WD のデータ侵害:数千万円の身代金が要求されている
2023/04/03:WD の My Cloud サービスがダウン:不正アクセス