Προσθήκη σχολίου (9 σχόλια)

Ο file explorer της Western Digital, EdgeRover, έλαβε πρόσφατα μία ενημέρωση (patch) για την αντιμετώπιση ενός σοβαρού κενού ασφαλείας.

Η επιδιορθωμένη πλέον ευπάθεια CVE-2022-229998, πρόκειται για ένα «directory traversal bug» που σημαίνει ότι επέτρεπε σε όλους να έχουν πρόσβαση σε αρχεία με περιορισμούς (στα δικαιώματα πρόσβασης). Την ευπάθεια, η οποία έχει αξιολογηθεί με 9.1 όσον αφορά την σοβαρότητα της- ανακάλυψε ο ερευνητής κυβερνοασφαλείας Xavier Danest.

Τα καλά νέα είναι για να αξιοποιήσει κάποιος κακόβουλος χρήστης ή απατεώνας την ευπάθεια, θα πρέπει πρώτα να έχει παραβιάσει την τερματική συσκευή (endpoint). Σε σχετική ανακοίνωση της, η εταιρεία δεν αναφέρθηκε εκτενώς στην ίδια την ευπάθεια, ωστόσο επιβεβαίωσε ότι εφόσον κάποιος την αξιοποιήσει επιτυχώς, μπορεί να οδηγήσει στην έκθεση ευαίσθητων πληροφοριών ή σε άρνηση-υπηρεσίας.

Συνιστάται σε όλους τους χρήστες του EdgeRover να ενημερώσουν τις τερματικές συσκευές τους στην έκδοση 1.5.1.-594 ή σε νεότερη. Το patch να αναφέρουμε ότι διορθώνει τόσο τα δικαιώματα/ άδειες για τα αρχεία όσο και για το directory. Η Western Digital δεν έκανε γνωστό αν χρήστες έπεσαν θύματα κάποιας επίθεσης -π.χ. με malware- εξαιτίας της ύπαρξης της ευπάθειας. Επιπλέον, δεν είναι εύκολο να προσδιοριστεί επί του παρόντος ο αριθμός των χρηστών του EdgeRover, αλλά δεδομένης της δημοτικότητας της Western Digital, η υπόθεση ότι θα χρησιμοποιείται από κάποιους χρήστες είναι μάλλον ασφαλής. Επομένως, υπήρξαν εκτεθειμένοι χρήστες.

Το EdgeRover είναι μια εφαρμογή διαχείρισης περιεχομένου, σχεδιασμένοι για hardware των Western Digital και SanDisk, η οποία υπόσχεται απλότητα και ευχρηστία καθώς και προηγμένες δυνατότητες αναζήτησης, κατηγοριοποίησης, ανίχνευσης διπλότυπων αρχείων κ.ά. Η εφαρμογή είναι διαθέσιμη τόσο για Windows όσο και για macOS.

Αυτή δεν είναι η πρώτη φορά που ανακαλύπτεται ευπάθεια σε λογισμικό της Western Digital. Στα τέλη της περασμένης χρονιάς ανακαλύφθηκε μία σοβαρή ευπάθεια στο firmware των συσκευών NAS της εταιρείας My Cloud με τους χρήστες των συσκευών να ειδοποιούνται να εγκαταστήσουν την τελευταία έκδοση του firmware εκείνη την εποχή.