geektimes

Бэкдор в WD My Cloud, доступный каждому

  • четверг, 18 января 2018 г. в 03:14:01
https://geektimes.ru/post/297145/
  • Накопители
  • Компьютерное железо
  • Информационная безопасность


image

На днях была опубликована уязвимость в NAS устройствах от Western Digital. А точнее натуральный встроенный бэкдором, для которого на текущий момент все еще нет официальной заплатки.

Бэкдор позволяет получить root доступ к устройствам просто воспользовавшись железно прошитым логином и паролем для многих NAS решений.

Подробнее под катом.

James Bercegay обнаружил уязвимость в середине 2017 года.Но спустя 6 месяцев, которые были предоставлены WD на устранение проблемы, официальный патч так и не был выпущен.

Детали об уязвимости и пример эксплоита был опубликованы на GulfTech 5 января 2018.

Дополнительной неприятностью бэкдора является то, что логин и пароль захардкожены и не могут быть просто так изменены — любой может воспользоваться админ-логином «mydlinkBRionyg» и паролем «abc12345cba» чтобы зайти в My Cloud и получить доступ к shell, что развязывает руки для уймы вариантов несанкционированного использования. Ситуация должна чувствительно ударить по репутации компании — недоглядеть подобные недочеты в продакшене сетевых NAS решений, о безопасности которых WD много пишет (в том числе и на хабре) — это очень непрофессионально.

Если вы считаете, что ваш домашний NAS не висит открытым доступом с инета, а просто включен у вас дома в локальной сети, он все равно может быть атакован через другое пользовательское устройство (компьютер, планшет, телефон). Пользователь со своего устройства может посетить веб-сайт, на котором злоумышленник повесил специально сгенеренный HTML image или IFrame, через который он может попытаться выполнить запрос устройствам в вашей локальной сети, используя предсказуемые названия хостов и получить несанкционированный доступ даже не пытаясь атаковать вас активным сканированием.

Модели, которые подвержены уязвимости:


My Cloud Gen 2
My Cloud EX2
My Cloud EX2 Ultra
My Cloud PR2100
My Cloud PR4100
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

Metasploit публично доступен — любой может его скачать и использовать для атаки NAS устройств. Да, это тот самый момент, когда скрипткидди опасны для каждого владельца вышеуказанных моделей.

Пока производитель не выпустит патч и не предложит исправление уязвимости, рекомендуется отключить (или отключать на время неиспользования) устройства в ваше локалке и блокировать им доступ к интернет.

Update 1:


По слухам, ноябрьский патч решает проблему, спасибо FenrirR
Not Vulnerable:
MyCloud 04.X Series с MyCloud 2.30.174

Но WD не особо распространялся о существовании проблемы, поэтому многие пользователи так и не обновляли прошивку. Для актуального теста, следует не просто попробовать ввести логин и пароль, а именно воспользоваться Metasploit-ом.

Update 2:


В официальном блоге WD буквально на днях (9 января) опубликовали статью, в которой подтверждают закрытие этой уязвимости апдейтом v2.30.172.

Вдобавок сообщается, что некоторые модели с прошивкой версий 2.xx, кроме My Cloud Home, могут содержать уязвимость в "Dashboard Cloud Access" и port forwarding, над чем работают сотрудники WD, и патч выйдет в самое ближайшее время. До этого момента рекомендуют ограничить доступ в локалке проверенным пользователям и отключить port forwarding.

Модели, которые поддерживают Dashboard Cloud Access:
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud EX2 Ultra
My Cloud DL2100
My Cloud DL4100
My Cloud PR2100
My Cloud PR4100
My Cloud Mirror
My Cloud Mirror Gen 2

А модели с My Cloud Home не содержат подобные уязвимости, так как архитектурно были разработаны с нуля, без legacy проблем.