Potężna wpadka WD. Luka w zabezpieczeniach dysków My Cloud pozwala zdalnie wykasować dane
Jeżeli korzystasz z dysków sieciowych WD My Cloud, możesz być narażony na bardzo poważną lukę bezpieczeństwa. Backdoor umożliwia zdalne przeprowadzenie operacji na dyskach, w tym usunięcie danych. Nie wszystkie urządzenia WD zostały załatane.
WD My Cloud to seria popularnych dysków sieciowych, służących do przechowywania kopii zapasowych, a także do magazynowania multimediów, które następnie można przesyłać np. bezpośrednio do telewizorów Smart TV. Innymi słowy są to serwery NAS, lub - jak woli określać je producent - „domowe chmury”.
Duże pojemności takich dysków, a także łatwy bezprzewodowy dostęp sprawiają, że są to bardzo wygodne urządzenia do backupu danych. Naprawdę wielu fotografów wykorzystuje je w ramach łatwo dostępnej kopii zapasowej.
Luka w zabezpieczeniach WD My Cloud pozwala zdalnie wykasować dane.
Serwis niebezpiecznik.pl opisał skandaliczną lukę w zabezpieczeniach dysków sieciowych WD My Cloud. Znaleziono de facto sześć błędów zabezpieczeń, ale najpoważniejszym jest backdoor w postaci ukrytego konta o loginie mydlinkBRionyg i haśle abc12345cba. Wpisując te dane można dostać się do zawartości dysku i zrobić z nią właściwie wszystko. Atak można przeprowadzić zdalnie, jeśli dysk jest podpięty do internetu.
Do przeprowadzenia ataku trzeba znać nazwę urządzenia. Jeśli użytkownik jej nie zmienił, jest wystawiony jak na tacy.
Jakie dyski WD My Cloud są narażone na atak?
Jak twierdzi Niebiezpiecznik, obecnie na atak są narażone następujące urządzenia:
- WD My Cloud Gen 2,
- WD My Cloud PR2100,
- WD My Cloud PR4100,
- WD My Cloud EX2,
- WD My Cloud EX4,
- WD My Cloud EX2100,
- WD My Cloud EX4100,
- WD My Cloud DL2100,
- WD My Cloud DL4100.
Problem dotyczył też urządzeń:
- WD MyCloud z oprogramowaniem do wersji 2.30.165,
- WD MyCloudMirror z oprogramowaniem do wersji 2.30.165,
- WD My Cloud EX2 Ultra z oprogramowaniem do wersji 2.30.174.
Mieliśmy okazję sprawdzić backdoor na dysku WD My Cloud z najnowszym oprogramowaniem 2.30.172 z 18.11.2017 i atak już nie działa. Nie mamy w redakcji żadnego urządzenia z pierwszej - rzekomo nadal zagrożonej - listy. Skontaktowałem się z Piotrem Koniecznym z Niebiezpiecznika z prośbą o komentarz do sprawy, ale nie otrzymałem jeszcze odpowiedzi.
Niebezpiecznik w swoim artykule powołuje się na dane z serwisu Shodan, wedug których obecnie jest na świecie ponad 8000 potencjalnie niezałatanych dysków WD My Cloud, z czego 202 są w Polsce.
WD wiedziało o luce od czerwca 2017 roku.
James Bercegay odkrył sześć luk już w czerwcu 2017 roku, po czym zgłosił je do WD. Producent nie naprawił wad, a Bercegay postanowił upublicznić swoje odkrycie tuż po tym, jak inna osoba znalazła jeden z wykrytych przez niego błędów bezpieczeństwa.
Proces łatania dysków przebiegał na przestrzeni 2017 roku. W przypadku WD My Cloud EX2 Ultra oprogramowanie z łatką pojawiło się dopiero w listopadzie.
Zapytaliśmy o stanowisko firmę Western Digital. Oto oficjalne stanowisko.
Jako że nie możemy sprawdzić żadnego z urządzeń, które rzekomo są nadal narażone na atak, radzimy zachować bezpieczeństwo. Najlepiej sprawdzić, czy login i hasło do konta backdoor u was działają. Jeśli tak, najprostszym sposobem zabezpieczenia swoich danych będzie odłączenie dysku sieciowego od internetu i czekanie na łatkę.
Aktualizacja.
Otrzymałem komentarz od Piotra Koniecznego z Niebezpiecznika:
Warto jednak zauważyć, że aktualizacja 2.30.174 nie jest dostępna dla wszystkich dysków WD My Cloud. W przypadku części urządzeń najnowszy firmware to 2.30.172, choć on również powinien być bezpieczny według zapewnień WD. Podsumowując, jeżeli korzystasz z dysku WD My Cloud, koniecznie zaktualizuj jego oprogramowanie do najnowszej wersji. Wersja 2.30.172 powinna wyeliminować wykryte problemy.