La semaine dernière, GulfTech publiait un billet de blog à propos d'une vulnérabilité découverte dans des NAS du fabricant : une backdoor permettait de se connecter en tant qu'administrateur avec l'identifiant mydlinkBRionyg et le mot de passe abc123456cba (sic).
Western Digital a été informé au milieu de l'année dernière et a déployé des correctifs de sécurité en novembre dernier, avec le firmware 2.30.172 (ou plus récent). GulfTech précise ne pas avoir testé les correctifs et signale que « certains utilisateurs signalent que des vulnérabilités demeurent », sans plus de détails.
Le fabricant est finalement sorti du bois pour confirmer que des failles subsistaient sur certains NAS My Cloud avec le firmware 2.xx, mais pas sur les My Cloud Home. Celles-ci sont désormais également corrigées avec un hotfix estampillé 2.30.181. La liste détaillée des modèles touchés est disponible par ici.
