[Aktualizacja] Wpadka bezpieczeństwa dotycząca urządzeń WD My Cloud
Źle się dzieje z bezpieczeństwem – tak można by skwitować wydarzenia związane z IT w przeciągu kilku ostatnich miesięcy. Tym razem na jaw wyszła poważna wpadka dotycząca urządzeń firmy Western Digital z serii My Cloud, czyli NAS-y dla użytkowników domowych i firm.
Aktualizacja #1: 08.01.2018 r.
Po publikacji niniejszego postu, otrzymaliśmy od firmy Western Digital oficjalne oświadczenie w tej sprawie. Poniżej jego treść:
Firma Western Digital zapoznała się i przeanalizowała doniesienia nt. błędów w zabezpieczeniach produktów z serii My Cloud. Specjalista ds. Bezpieczeństwa, który odkrył problem, skontaktował się z nami w 2017 r. – zgłoszone przez niego krytyczne luki w zabezpieczeniach zostały załatane w aktualizacji firmware’u w 2017 (w wersji v2.30.172). W kolejnych aktualizacjach usunięto również pomniejsze błędy. Zdecydowanie zachęcamy klientów do kontaktowania się ze wsparciem technicznym Western Digital w celu uzyskania pomocy w kwestii aktualizowania naszych urządzeń.
Przypominamy też, że zawsze należy dbać, by na urządzeniu zainstalowane było najnowsze oprogramowanie – rekomendowanym rozwiązaniem jest korzystanie z funkcji automatycznych aktualizacji. Zalecamy również wdrożenie klasycznych dobrych praktyk z dziedziny bezpieczeństwa, takich jak regularne tworzenie kopii zapasowych danych czy ochronę hasłami, a także zabezpieczenie routera za pomocą którego korzystamy z osobistej chmury lub urządzenia NAS.
Western Digital stale pracuje nad zwiększeniem możliwości oraz poziomu bezpieczeństwa naszych produktów – współpracujemy w tym celu m.in. ze społecznością ekspertów ds. bezpieczeństwa i rozwiązujemy zgłaszane przez nich problemy. Zachęcamy naszych klientów również do odpowiedzialnego zgłaszania wszelkich takich problemów, co pozwoli naszym specjalistom na bieżąco usuwać błędy i zapewnić klientom odpowiedni poziom bezpieczeństwa.
Jak donosi serwis Niebezpiecznik, James Bercegay odnalazł w zabezpieczeniach sześć dziur, które umożliwiają dostęp do zasobów My Cloud zarówno lokalnie jak i zdalnie. Najgorsze jest to, że problemy te zgłosił już przeszło pół roku temu – w czerwcu 2017 roku. Niestety Western Digital nie poczynił kroków, by załatać te błędy. W związku z tym James postanowił zadziałać inną drogą i upublicznił informacje na ten temat.
Najbardziej niebezpieczne są szczególnie dwie z sześciu wspomnianych dziur. Pierwsza z nich pozwala na zalogowanie się do jednego z narażonych sprzętów przy pomocy loginu mydlinkBRionyg
oraz hasła abc12345cba
. Działa to zarówno poprzez próbę zalogowania z poziomu lokalnego jak i zdalnego. Druga dziura z kolei pozwala na wgranie na WD My Cloud dowolnego pliku. Więcej szczegółów technicznych znajdziecie w źródle.
Poniżej lista urządzeń, które narażone są na niebezpieczeństwo:
- MyCloud do wersji 2.30.165
- MyCloudMirror do wersji 2.30.165
- My Cloud Gen 2
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
Zapewne nagłośnienie całej tej sprawy sprawiło, że WD opublikowało aktualizację firmware’u, którą można pobrać stąd.
Co prawda pod koniec listopada pojawiła się aktualizacja firmware’u, w której na liście zmian podano informację o naprawieniu błędu, który umożliwiałby dostęp do urządzeń, ale nie do końca wiadomo, czy naprawia ona akurat luki zgłoszone przez Jamesa1.
Sporo osób jest często zbulwersowanych tym, że ktoś, zamiast trzymać w tajemnicy newralgiczne informacje o wykorzystaniu dziur bezpieczeństwa, ogłasza je na forum publicznym. Jak jednak pokazuje przykład firmy WD oraz wielu innych, czasem jest to jedyna metoda, żeby do takiej firmy dotarło, że problem jest znany coraz szerszemu gronu osób, co niesie za sobą większe prawdopodobieństwo fal włamań. Takie zachowanie firm dodatkowo bardzo negatywnie wpływa niestety na opinię konsumencką, tym bardziej nie rozumiem takiego ignorowania problemu.
Źródło Niebezpiecznik
- Dzięki za zwrócenie uwagi Bartek ↩