Close
Cerca
Filters

Falla nei Nas Western Digital

Falla nei Nas Western Digital

Una preoccupante falla è stata rilevata e resa pubblica in merito ai dischi e Nas Western Digital, in particolare la funzionalità "My Cloud" funzionante nel software in dotazione.

In particolare è stato scoperta una "hardcoded backdoor", cioè un "porta generata a livello hardware" che permette a chiunque di utilizzare un particolare username (mydlinkBRionyg) e una password neanche troppo complicata (abc12345cba) per entrare nel sistema e poter accedere ai files contenuti nel disco.

James Bercegay capo della divisione Ricerca e Sviluppo di GulfTech, ha dimostrato la possibilità di sfruttare l'exploit in pochi semplici passaggi. La stessa divisione ha scoperto che parte del codice sfruttato per lo sviluppo di MyCloud è lo stesso del sistema ShareCenter di D-Link (da qui il nome dell'utente).

I risultati della ricerca sono stati notificati a WD che, però, dopo 6 mesi non ha ancora risposto (e fixato) il problema.

Log dei contatti:

  • 2017-06-10: Contacted vendor via web contact form. Assigned case #061117-12088041.
  • 2017-06-12: Support member Gavin referred us to WDC PSIRT. We immediately sent a PGP encrypted copy of our report to WDC PSIRT.
  • 2017-06-13: Received confirmation of report from Samuel Brown.
  • 2017-06-16: A period of 90 days is requested by vendor until full disclosure.
  • 2017-12-15: Zenofex posts disclosure of the upload bug independantly of my research
  • 2018-01-03: Public Disclosure

 

 I seguenti modelli sono positivi alla falla descritta:

  • MyCloud
  • MyCloudMirror
  • My Cloud Gen 2
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Il problema sembra essere stato risolto dalla versione 2.30.172 del firmware (novembre 2017), ma consigliamo a tutti di far verificare il proprio disco o nas !

Lascia un commento