WD My Cloud NAS-dozen kunnen via internet worden gehackt, beweren onderzoekers
NieuwsBIJWERKEN: Western Digital heeft gereageerd op ons verzoek om een verklaring, die we hieronder hebben gepubliceerd.
Beveiligingsonderzoekers bij Securify hebben een kwetsbaarheid ontdekt in de My Cloud NAS-kaders van Western Digital, die aanvallers volledige controle over hun inhoud kunnen geven. De exploit vereist lokaal of internettoegang tot een My Cloud-apparaat om te worden uitgevoerd en omzeilt de gebruikelijke aanmeldingsvereisten van de NAS-box.
Crov-2018-17153 genoemd, de bug kan mogelijk kapers ook de mogelijkheid geven om opdrachten uit te voeren waarvoor normaal beheerdersrechten nodig zijn. Zodra toegang is verkregen, kunnen hackers alle bestanden die op het apparaat zijn opgeslagen bekijken, kopiëren, verwijderen of overschrijven.
Je cloud kan worden weergegeven
Volgens Securify: "De CGI-module network_mgr.cgi bevat een opdracht met de naam cgi_get_ipv6 die een beheersessie start die gekoppeld is aan het IP-adres van de gebruiker die de aanvraag doet wanneer deze wordt aangeroepen met de parametervlag gelijk aan 1. Daaropvolgende aanroep van opdrachten die zouden Normaal gesproken zijn beheerdersbevoegdheden nu geautoriseerd als een aanvaller de username = admin koekje."
Door het jargon heen te snijden, betekent dit in feite dat het de manier is waarop WD My Cloud een admin-sessie instelt die is verbonden met een IP-adres waardoor de kwetsbaarheid wordt vergroot. Door simpelweg de cookie toe te voegen username = admin voor een HTTP CGI-verzoek dat wordt verzonden via een lokaal netwerk of een internetverbinding, kan iedereen toegang krijgen tot de inhoud die is opgeslagen in de NAS-box.
Securify bracht het probleem in april naar voren met Western Digital, toen de fout voor het eerst werd ontdekt, maar nog nooit van het bedrijf werd gehoord. Na vijf maanden stilte van WD heeft Securify besloten om de kwetsbaarheid openbaar te maken.
We hebben contact opgenomen met Western Digital voor een reactie en het bedrijf heeft bevestigd dat er binnenkort een firmware-update zal worden geïmplementeerd om het probleem op te lossen. "We zijn bezig met het finaliseren van een geplande firmware-update die het gemelde probleem zal oplossen", reageerde WD in een e-mail. "We verwachten binnen enkele weken de update op onze technische ondersteuningssite op https://support.wdc.com/ te plaatsen."
- Lees verder: WD My Passport Wireless SSD-beoordeling