Rozwiązania pamięci masowej oferowane przez Western Digital mają poważną lukę w zabezpieczeniach, związaną m.in. z pozostawieniem tylnej furtki przez producenta. W jej wyniku odpowiednio spreparowana strona internetowa może skasować nam wszystkie pliki na urządzeniu podłączonym do sieci lokalnej.
James Bercegay, badacz z firmy Gulftech Research and Development, ujawnił lukę w zabezpieczeniach dysków sieciowych Western Digital My Cloud w już 12 czerwca 2017 roku.
Po upływie sześciu miesięcy i braku reakcji producenta dysków (brak stosownej poprawki), badacz zdecydował się opublikować szczegóły i exploita potwierdzającego jego koncepcję.
Badacz odkrył możliwość wgrywania dowolnych plików dzięki błędom w kodzie PHP panelu WWW urządzenia i napisał moduł Metasploita wgrywający PHP shella.
Jeszcze gorsze okazało się jednak, że w pliku binarnym obsługującym polecenia CGI badacz odkrył zapisane na sztywno konto administratora, zostawione przez producenta urządzenia. Oznacza to, że zalogować się do usługi Western Digital My Cloud może każdy, kto użyje “mydlinkBRionyg” jako nazwy administratora i “abc12345cba” jako hasła. Po zalogowaniu się w ten sposób uzyskuje pełen dostęp do dysku. Ciekawe jest użycie sformułowania „D-Link” w nazwie konta w urządzeniu WD. Okazuje się, że takie samo konto istniało w oprogramowaniu dysku sieciowego D-Link DNS-320L, jednak zostało usunięte już podczas aktualizacji oprogramowania 28 lipca 2014 roku. Wynika z tego, że obaj producenci użyli niemal tego samego kodu przy tworzeniu oprogramowania do swoich produktów.
Właściciele dysków Western Digital nie są bezpieczni nawet po odłączeniu dysku od Internetu. Specjalnie spreparowany znaczniki iFrame albo img tag mogą być używane w witrynach internetowych do wysyłania żądań do dysków WD w sieci lokalnej. Żadna interakcja ze strony użytkownika nie jest tu konieczna, wystarczy wejść przypadkiem na złośliwą stronę internetową. Za pomocą odpowiedniego kodu wbudowanego w stronę można skasować komuś całą zawartość dysku sieciowego, wgrać złośliwe oprogramowanie lub skonfigurować tylną furtkę, żeby mieć stały dostęp do dysku ofiary.
Dotyczy to modeli: My Cloud, My CloudMirror, My Cloud Gen 2, My Cloud EX2, My Cloud EX2 Ultra, My Cloud PR2100, My Cloud PR4100, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 i My Cloud DL4100.
Wszyscy czekają teraz na odpowiedź ze strony Western Digital. Do czasu wydania poprawki, najlepszym rozwiązaniem będzie całkowite odłączenie (!) posiadanych napędów od sieci lokalnej i Internetu.
Najnowsze informacje potwierdzają na szczęście, że aktualizacja oprogramowania dysku do wersji 2.30.174 powoduje, że zanika podatność na exploita i logowanie się za pomocą ww. danych.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny