Popularne dyski sieciowe firmy Western Digital okazały się tak dziurawe, że każda strona internetowa może skasować wszystkie pliki na urządzeniu podłączonym do sieci lokalnej. Wszystko dzięki tylnej furtce producenta i kilku innym błędom.
Naprawdę chcielibyśmy, by w roku 2018 urządzenia podłączane do internetu był wolne od błędów, nie miały nieusuwalnych haseł fabrycznych a ich producenci reagowali na zgłoszenia o błędach. Niestety żyjemy w innym świecie.
Dziura na dziurze
James Bercegay, badacz z firmy Gulftech, zabrał się za analizę dysków sieciowych Western Digital My Cloud. Już ten początek praktycznie gwarantuje ciekawy ciąg dalszy i nie inaczej było w tym przypadku. Badacz odkrył możliwość wgrywania dowolnych plików dzięki błędów w kodzie PHP panelu WWW urządzenia i napisał moduł Metasploita wgrywający PHP shella, ale nie to okazało się najgorsze. W pliku binarnym obsługującym polecenia CGI odkrył zapisane na sztywno konto administratora, zostawione przez producenta urządzenia. Aby zostac administratorem urządzenia wystarczy podać login mydlinkBRionyg oraz hasło abc12345cba.
Pewnie czytelnicy drapią się w głowę, co robi D-Link w nazwie konta w urządzeniu WD. Okazuje się, że takie samo konto istniało w oprogramowaniu dysku sieciowego D-Link DNS-320L, jednak zostało usunięte już w roku 2014. Najwyraźniej obaj producenci użyli tego samego kodu w swoich produktach. Odkrywca błędu zgłosił go do Western Digital już w czerwcu 2017, jednak do tej pory nie doczekał sie aktualizacji oprogramowania.
Nie podłączyłem dysku do internetu, jestem bezpieczny
I tu przechodzimy do sedna sprawy. Otóż wywołanie odpowiedniego żądania do serwera WWW MyCloud nie wymaga wystawienia go na interfejsie publicznym. Wystarczy, że jakiś żartowniś zamieści na swojej stronie taki kod:
<img src="http://wdmycloud/cgi-bin/nas_sharing.cgi?dbg=1&cmd=51&user=mydlinkBRionyg&passwd=YWJjMTIzNDVjYmE&start=1&count=1;rm+-rf+/;">
a każdy odwiedzający ją użytkownik dysku z włączonym urządzeniem dostępnym w sieci lokalnej pod domyślną nazwą straci wszystkie pliki. Fajne, prawda? Oczywiście złośliwe polecenie może zawierać zupełnie inne zadania, jak np. skonfigurowanie tylnej furtki dostępnej dla atakującego czy instalację złośliwego oprogramowania. Jak to działa? Otóż przeglądarka użytkownika ma dostęp zarówno do internetu jak i sieci lokalnej i gdy strona internetowa poprosi ją o wywołanie obrazka z sieci lokalnej, ta grzecznie zapyta lokalny serwer o wskazany zasób. Niestety to wywołanie, zawierające login i zakodowane w base64 hasło konta administratora, połączone z możliwością wstrzyknięcia dowolnego polecenia, spowoduje wywołanie komendy kasowania plików.
My takiego obrazka nie zamieściliśmy, jednak pewnie zaraz ktoś to zrobi, dlatego, jeśli używacie dysków WD MyCloud z poniższej listy to na wszelki wypadek odłączcie je od sieci (lub, jeśli lubicie emocje, nadajcie im nazwę którą trudniej zgadnąć). Na atak podatne są co najmniej modele
MyCloud MyCloudMirror My Cloud Gen 2 My Cloud PR2100 My Cloud PR4100 My Cloud EX2 Ultra My Cloud EX2 My Cloud EX4 My Cloud EX2100 My Cloud EX4100 My Cloud DL2100 My Cloud DL4100
w wersji oprogramowania <= 2.30.165. Linia oprogramowania 0.4x nie jest na opisywane błędy podatna. Niestety nie wiadomo, czy i kiedy producent opublikuje aktualizację oprogramowania usuwającą zagrożenie. Nie bez powodu Western Digital otrzymał w 2016 nagrodę Pwnie za najgorszą reakcję dostawcy.
Inni badacze także nie odchodzili z pustymi rękami.
Aktualizacja 17:45
Wykopowicze posiadający wspomniane dyski informują, że mają oprogramowanie nowsze niż opisywane powyżej, m.in. w wersji 2.30.172, co może (choć nie musi) oznaczać, że błędy zostały usunięte. Sprawdźcie wersję oprogramowania u siebie (bo różne modele otrzymały różne aktualizacje) i zobaczcie, czy wspomniany login i hasło dalej działają a także czy zostały usunięte pozostałe błędy.
U jednego z Wykopowiczów z oprogramowaniem w wersji 2.30.174 wspomniany login i hasło nie działają, a pliku umożliwiającego wywołanie exploita brak. Pokazuje to, że warto dbać o aktualizacje każdego komponentu domowej sieci. Tak czy inaczej, nie wystawiajcie swoich urządzeń do świata i wymyślajcie im nietypowe nazwy i nietypowe adresy IP w sieci lokalnej.
Aktualizacja 2018-01-08 12:30
Otrzymaliśmy stanowisko firmy Western Digital, które w całości cytujemy poniżej:
Firma Western Digital zapoznała się i przeanalizowała doniesienia nt. błędów w zabezpieczeniach produktów z serii My Cloud. Specjalista ds. Bezpieczeństwa, który odkrył problem, skontaktował się z nami w 2017 r. – zgłoszone przez niego krytyczne luki w zabezpieczeniach zostały załatane w aktualizacji firmware’u w 2017 (w wersji v2.30.172). W kolejnych aktualizacjach usunięto również pomniejsze błędy. Zdecydowanie zachęcamy klientów do kontaktowania się ze wsparciem technicznym Western Digital (https://support.wdc.com) w celu uzyskania pomocy w kwestii aktualizowania naszych urządzeń.
Przypominamy też, że zawsze należy dbać, by na urządzeniu zainstalowane było najnowsze oprogramowanie – rekomendowanym rozwiązaniem jest korzystanie z funkcji automatycznych aktualizacji. Zalecamy również wdrożenie klasycznych dobrych praktyk z dziedziny bezpieczeństwa, takich jak regularne tworzenie kopii zapasowych danych czy ochronę hasłami, a także zabezpieczenie routera za pomocą którego korzystamy z osobistej chmury lub urządzenia NAS.
Western Digital stale pracuje nad zwiększeniem możliwości oraz poziomu bezpieczeństwa naszych produktów – współpracujemy w tym celu m.in. ze społecznością ekspertów ds. bezpieczeństwa i rozwiązujemy zgłaszane przez nich problemy. Zachęcamy naszych klientów również do odpowiedzialnego zgłaszania wszelkich takich problemów, co pozwoli naszym specjalistom na bieżąco usuwać błędy i zapewnić klientom odpowiedni poziom bezpieczeństwa.
Komentarze
Badacz lol kto wymyślił to określenie.
Badacze, to prawie jak osadnicy
A Ty masz ile latek, dziewczynko?
Eksploratorzy
No nie wiem, #Explorer to juz sie nawet Paniom w Biurze zle kojarzy… ]:)
Lepsze to, niż Penetratorzy ;)
Są ludzie, którzy na hasła „LaTeX” i „testy penetracyjne” zaczynają się głupkowato uśmiechać.
Swoją drogą – dlaczego musiałem uciekać się do korzystania z narzędzi developerskich, aby odpowiedzieć na ten komentarz? Przycisku „Odpowiedz” tam nie było
( https://i.imgur.com/kucNtcq.png ).
Jeśli to jakaś innowacyjna metoda kończenia nic nie wnoszącej do tematu dyskusji do czasu interwencji moderatora – to po prostu nie zdaje ona egzaminu.
Naukowcy z Lichenia
Czytam wasz tekst i co kilka linijek patrzę na kalendarz aby sprawdzić czy dzisiaj jest pierwszy kwietnia. No niby mamy styczeń ale nadal nie mogę uwierzyć, że to nie żart. Ciekawe czy te dziury są z głupoty czy zostały dodane z premedytacją.
Miałem to samo uczucie, to już 1 kwietnia?
Trzeba byc niespelna rozumu, aby swoje prywatne dane umieszczac na dyskach zewnetrznych, ktore posiadaja mozliwosc nawiazywania polaczen z internetem.
A trzymanie ich na dysku wewnętrznym urządzenia posiadającego możliwość nawiązywania połączeń z internetem jest ok? ;)
Problem nie polega na umieszczaniu prywatnych danych na dyskach, które mają dostęp do sieci tylko na braku szyfrowania danych / dysku, ot to cały problem.
Co to zmienia, czy dane są szyfrowane czy nie, jeśli i tak przez tę lukę można je usunąć? To nic nie zmienia.
Problem jak zwykle leży w tym, w jaki sposób w ogóle są te dane przechowywane. Sam fakt dalszego stosowania PHP jako środowiska pod aplikację mnie przeraża. Porządna aplikacja zwykle powinna być napisana w Pythonie. O całym środowisku nie wspominając – brak FreeBSD z ZFS, jakiejkolwiek zaawansowanej spójności plików.
Ten WD to tylko modła marketingowa. Ktoś się napchał pijarem dzięki crowfundingowi. Ludzie uznali, że skoro coś jest drogie, jedyne w swoim rodzaju, to musi być dobre. Problem w tym, że… nie do końca.
Pewnie uwazne czytales art i wiesz ze jest mozliwosc wykonania dowolnego kodu, nie tylko kasowanie. Jako agresor pojdziesz w kerunku skopiowania danych.
A nie da się na tym szajsie zwykłego debiana zainstalować?
Ale ja nie bardzo rozumiem. Mam WD MYcloud i soft w wersji 04.05.00-320 to skąd Wy macie niby 2.30.172? Toż to jakiś mega stary FV…
Są dwie linie softu, 2.x i 0.4x. Rozwijane równolegle.
no to na FV 04.05.00-320 nie dziala opisany w artykule atak. login i haslo podane na poczatku artykułu są nieprawidłowe.
No to zaczynamy kopać Monero na dyskach :)
Nie nakopiesz się. ;] Te urządzenia przy swoich specyfikacjach sprzętowych mają spore problemy z utrzymaniem prędkości własnej pracy – jakiekolwiek dodatkowe procesy je po prostu dojeżdżają… ;]
2.30.172 – problemu brak, po uzyciu wskazanego loginu i hasla wywala komunikat „Dozwoleni są tylko użytkownicy z uprawnieniami administratora.” czyli jakby takiego konta w ogole nie bylo
Dyski WD mają automatyczna aktualizacje softu nie wymagająca reakcji użytkownika. Same hasło i login na moim wd nie działa. exploita nie próbowałem xD
Czy modele MyCloud/MyBook bez eth też są zagrożone?
>2019 rok
>przeglądarki dalej nie blokują requestów na lokalne adresy z nielokalnych adresów
Bo domyślne ładowanie obrazków z interfejsu webowego drukarki jest tak bardzo niezbędne dla prawidłowego działania sieci xD
Patrzcie patrzecie, a domyślnie to jak wchodzę na popularny portal, to jeszcze nie blokują mi zapytań do różnych analitics-google.com, ads.gdzieśtam.pl, baners.jeszczeinne.com, badanierynkuf.pl, gemiusów.pl itd. (i jeszcze tony ciasteczek bez czekolady z tych wszystkich „bonusów”) ;)
Ja mam całkiem inne oprogramowanie : 2.11.168.
Login i hasło również nie pasują. Mam WD My Cloud EX2 4TB. Pozdrawiam
2.11.168 na WdMyCloudMirror. Podany login + pass nie przepuszcza.
W urządzeniu WD My Cloud Mirror Gen1 problem został rozwiązany najnowszą aktualizacją firmware’u nr 2.11.168 z dnia 28.11.2017. Dla tej generacji urządzenia, fw nie doszedł z numeracją do 2.30.x.
> Otóż przeglądarka użytkownika ma dostęp zarówno do internetu
> jak i sieci lokalnej i gdy strona internetowa poprosi ją o
> wywołanie obrazka z sieci lokalnej, ta grzecznie zapyta lokalny
> serwer o wskazany zasób
O_o
Czy takie zachowanie jest domyślne? Da się to jakoś w ustawieniach Chrome’a/Firefoksa/Opery zablokować? I w ogóle po co istnieje taka możliwość?
v2.30.172 zainstalował mi się na początku listopada. Brak wspomnianego błędu…
Mam Wd My book live ver. 02.4310-048:Core F/W.
Czy mam się bać?
MyBook Live jest dziurawy jak sito. Niestety jest to najnowsza wersja FW. Polecam odłączenie od sieci.
Przestrzegam przed zakupem tego badziewia. Leżą mi dwie sztuki. W 4Tb padł dysk po 2 latach ! W 3TB dysk jest OK (3 lata) ale miga dioda i pliki wiecznie się indeksują. Problem znany i dla zastanawiających się nad kupnem polecam w przeglądarce hasło „WD Cloud migająca dioda”
Wydane pieniądze to jedno, stracone dane …
Zakupiłem Synology DS. Testuję, ale już widzę że osiągnięty transfer 111MB/s to dla wdcloud marzenie