07.01.2018 | 15:51

avatar

Adam Haertle

Masz dysk WD MyCloud? Odłącz go od sieci zanim go ktoś skasuje

Popularne dyski sieciowe firmy Western Digital okazały się tak dziurawe, że każda strona internetowa może skasować wszystkie pliki na urządzeniu podłączonym do sieci lokalnej. Wszystko dzięki tylnej furtce producenta i kilku innym błędom.

Naprawdę chcielibyśmy, by w roku 2018 urządzenia podłączane do internetu był wolne od błędów, nie miały nieusuwalnych haseł fabrycznych a ich producenci reagowali na zgłoszenia o błędach. Niestety żyjemy w innym świecie.

Dziura na dziurze

James Bercegay, badacz z firmy Gulftech, zabrał się za analizę dysków sieciowych Western Digital My Cloud. Już ten początek praktycznie gwarantuje ciekawy ciąg dalszy i nie inaczej było w tym przypadku. Badacz odkrył możliwość wgrywania dowolnych plików dzięki błędów w kodzie PHP panelu WWW urządzenia i napisał moduł Metasploita wgrywający PHP shella, ale nie to okazało się najgorsze. W pliku binarnym obsługującym polecenia CGI odkrył zapisane na sztywno konto administratora, zostawione przez producenta urządzenia. Aby zostac administratorem urządzenia wystarczy podać login mydlinkBRionyg oraz hasło abc12345cba.

Pewnie czytelnicy drapią się w głowę, co robi D-Link w nazwie konta w urządzeniu WD. Okazuje się, że takie samo konto istniało w oprogramowaniu dysku sieciowego D-Link DNS-320L, jednak zostało usunięte już w roku 2014. Najwyraźniej obaj producenci użyli tego samego kodu w swoich produktach. Odkrywca błędu zgłosił go do Western Digital już w czerwcu 2017, jednak do tej pory nie doczekał sie aktualizacji oprogramowania.

Nie podłączyłem dysku do internetu, jestem bezpieczny

I tu przechodzimy do sedna sprawy. Otóż wywołanie odpowiedniego żądania do serwera WWW MyCloud nie wymaga wystawienia go na interfejsie publicznym. Wystarczy, że jakiś żartowniś zamieści na swojej stronie taki kod:

<img src="http://wdmycloud/cgi-bin/nas_sharing.cgi?dbg=1&cmd=51&user=mydlinkBRionyg&passwd=YWJjMTIzNDVjYmE&start=1&count=1;rm+-rf+/;">

a każdy odwiedzający ją użytkownik dysku z włączonym urządzeniem dostępnym w sieci lokalnej pod domyślną nazwą straci wszystkie pliki. Fajne, prawda? Oczywiście złośliwe polecenie może zawierać zupełnie inne zadania, jak np. skonfigurowanie tylnej furtki dostępnej dla atakującego czy instalację złośliwego oprogramowania. Jak to działa? Otóż przeglądarka użytkownika ma dostęp zarówno do internetu jak i sieci lokalnej i gdy strona internetowa poprosi ją o wywołanie obrazka z sieci lokalnej, ta grzecznie zapyta lokalny serwer o wskazany zasób. Niestety to wywołanie, zawierające login i zakodowane w base64 hasło konta administratora, połączone z możliwością wstrzyknięcia dowolnego polecenia, spowoduje wywołanie komendy kasowania plików.

My takiego obrazka nie zamieściliśmy, jednak pewnie zaraz ktoś to zrobi, dlatego, jeśli używacie dysków WD MyCloud z poniższej listy to na wszelki wypadek odłączcie je od sieci (lub, jeśli lubicie emocje, nadajcie im nazwę którą trudniej zgadnąć). Na atak podatne są co najmniej modele

MyCloud 
MyCloudMirror 
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

w wersji oprogramowania <= 2.30.165. Linia oprogramowania 0.4x nie jest na opisywane błędy podatna. Niestety nie wiadomo, czy i kiedy producent opublikuje aktualizację oprogramowania usuwającą zagrożenie. Nie bez powodu Western Digital otrzymał w 2016 nagrodę Pwnie za najgorszą reakcję dostawcy.

Inni badacze także nie odchodzili z pustymi rękami.

Aktualizacja 17:45

Wykopowicze posiadający wspomniane dyski informują, że mają oprogramowanie nowsze niż opisywane powyżej, m.in. w wersji 2.30.172, co może (choć nie musi) oznaczać, że błędy zostały usunięte. Sprawdźcie wersję oprogramowania u siebie (bo różne modele otrzymały różne aktualizacje) i zobaczcie, czy wspomniany login i hasło dalej działają a także czy zostały usunięte pozostałe błędy.

U jednego z Wykopowiczów z oprogramowaniem w wersji 2.30.174 wspomniany login i hasło nie działają, a pliku umożliwiającego wywołanie exploita brak. Pokazuje to, że warto dbać o aktualizacje każdego komponentu domowej sieci. Tak czy inaczej, nie wystawiajcie swoich urządzeń do świata i wymyślajcie im nietypowe nazwy i nietypowe adresy IP w sieci lokalnej.

Aktualizacja 2018-01-08 12:30

Otrzymaliśmy stanowisko firmy Western Digital, które w całości cytujemy poniżej:

Firma Western Digital zapoznała się i przeanalizowała doniesienia nt. błędów w zabezpieczeniach produktów z serii My Cloud. Specjalista ds. Bezpieczeństwa, który odkrył problem, skontaktował się z nami w 2017 r. – zgłoszone przez niego krytyczne luki w zabezpieczeniach zostały załatane w aktualizacji firmware’u w 2017 (w wersji v2.30.172)W kolejnych aktualizacjach usunięto również pomniejsze błędy. Zdecydowanie zachęcamy klientów do kontaktowania się ze wsparciem technicznym Western Digital (https://support.wdc.com) w celu uzyskania pomocy w kwestii aktualizowania naszych urządzeń.

Przypominamy też, że zawsze należy dbać, by na urządzeniu zainstalowane było najnowsze oprogramowanie – rekomendowanym rozwiązaniem jest korzystanie z funkcji automatycznych aktualizacji. Zalecamy również wdrożenie klasycznych dobrych praktyk z dziedziny bezpieczeństwa, takich jak regularne tworzenie kopii zapasowych danych czy ochronę hasłami, a także zabezpieczenie routera za pomocą którego korzystamy z osobistej chmury lub urządzenia NAS.

Western Digital stale pracuje nad zwiększeniem możliwości oraz poziomu bezpieczeństwa naszych produktów – współpracujemy w tym celu m.in. ze społecznością ekspertów ds. bezpieczeństwa i rozwiązujemy zgłaszane przez nich problemy. Zachęcamy naszych klientów również do odpowiedzialnego zgłaszania wszelkich takich problemów, co pozwoli naszym specjalistom na bieżąco usuwać błędy i zapewnić klientom odpowiedni poziom bezpieczeństwa.

Powrót

Komentarze

  • avatar
    2018.01.07 16:03 Meg

    Badacz lol kto wymyślił to określenie.
    Badacze, to prawie jak osadnicy

    Odpowiedz
    • avatar
      2018.01.07 17:42 Szczepan

      A Ty masz ile latek, dziewczynko?

      Odpowiedz
      • avatar
        2018.01.07 23:07 .

        Eksploratorzy

        Odpowiedz
        • avatar
          2018.01.08 00:31 Krzy$ztof

          No nie wiem, #Explorer to juz sie nawet Paniom w Biurze zle kojarzy… ]:)

          Odpowiedz
          • avatar
            2018.01.08 13:22 Marcin

            Lepsze to, niż Penetratorzy ;)

          • avatar
            2018.01.10 20:40 Xyzz

            Są ludzie, którzy na hasła „LaTeX” i „testy penetracyjne” zaczynają się głupkowato uśmiechać.

            Swoją drogą – dlaczego musiałem uciekać się do korzystania z narzędzi developerskich, aby odpowiedzieć na ten komentarz? Przycisku „Odpowiedz” tam nie było
            ( https://i.imgur.com/kucNtcq.png ).

            Jeśli to jakaś innowacyjna metoda kończenia nic nie wnoszącej do tematu dyskusji do czasu interwencji moderatora – to po prostu nie zdaje ona egzaminu.

    • avatar
      2018.01.07 23:07 .

      Naukowcy z Lichenia

      Odpowiedz
  • avatar
    2018.01.07 16:07 MatM

    Czytam wasz tekst i co kilka linijek patrzę na kalendarz aby sprawdzić czy dzisiaj jest pierwszy kwietnia. No niby mamy styczeń ale nadal nie mogę uwierzyć, że to nie żart. Ciekawe czy te dziury są z głupoty czy zostały dodane z premedytacją.

    Odpowiedz
    • avatar
      2018.01.07 19:14 mjr Wredny

      Miałem to samo uczucie, to już 1 kwietnia?

      Odpowiedz
  • avatar
    2018.01.07 17:30 Adam

    Trzeba byc niespelna rozumu, aby swoje prywatne dane umieszczac na dyskach zewnetrznych, ktore posiadaja mozliwosc nawiazywania polaczen z internetem.

    Odpowiedz
    • avatar
      2018.01.07 17:33 Adam

      A trzymanie ich na dysku wewnętrznym urządzenia posiadającego możliwość nawiązywania połączeń z internetem jest ok? ;)

      Odpowiedz
    • avatar
      2018.01.07 17:42 https://chojnowski.it

      Problem nie polega na umieszczaniu prywatnych danych na dyskach, które mają dostęp do sieci tylko na braku szyfrowania danych / dysku, ot to cały problem.

      Odpowiedz
      • avatar
        2018.01.07 18:50 anonim

        Co to zmienia, czy dane są szyfrowane czy nie, jeśli i tak przez tę lukę można je usunąć? To nic nie zmienia.

        Problem jak zwykle leży w tym, w jaki sposób w ogóle są te dane przechowywane. Sam fakt dalszego stosowania PHP jako środowiska pod aplikację mnie przeraża. Porządna aplikacja zwykle powinna być napisana w Pythonie. O całym środowisku nie wspominając – brak FreeBSD z ZFS, jakiejkolwiek zaawansowanej spójności plików.

        Ten WD to tylko modła marketingowa. Ktoś się napchał pijarem dzięki crowfundingowi. Ludzie uznali, że skoro coś jest drogie, jedyne w swoim rodzaju, to musi być dobre. Problem w tym, że… nie do końca.

        Odpowiedz
        • avatar
          2018.01.07 20:20 Grzegorz

          Pewnie uwazne czytales art i wiesz ze jest mozliwosc wykonania dowolnego kodu, nie tylko kasowanie. Jako agresor pojdziesz w kerunku skopiowania danych.

          Odpowiedz
  • avatar
    2018.01.07 18:00 zygmunt

    A nie da się na tym szajsie zwykłego debiana zainstalować?

    Odpowiedz
  • avatar
    2018.01.07 18:54 lukasz

    Ale ja nie bardzo rozumiem. Mam WD MYcloud i soft w wersji 04.05.00-320 to skąd Wy macie niby 2.30.172? Toż to jakiś mega stary FV…

    Odpowiedz
    • avatar
      2018.01.07 18:56 adamh

      Są dwie linie softu, 2.x i 0.4x. Rozwijane równolegle.

      Odpowiedz
      • avatar
        2018.01.07 18:59 lukasz

        no to na FV 04.05.00-320 nie dziala opisany w artykule atak. login i haslo podane na poczatku artykułu są nieprawidłowe.

        Odpowiedz
  • avatar
    2018.01.07 19:21 Karol

    No to zaczynamy kopać Monero na dyskach :)

    Odpowiedz
    • avatar
      2018.12.19 11:37 Kadigan

      Nie nakopiesz się. ;] Te urządzenia przy swoich specyfikacjach sprzętowych mają spore problemy z utrzymaniem prędkości własnej pracy – jakiekolwiek dodatkowe procesy je po prostu dojeżdżają… ;]

      Odpowiedz
  • avatar
    2018.01.07 19:28 Radek

    2.30.172 – problemu brak, po uzyciu wskazanego loginu i hasla wywala komunikat „Dozwoleni są tylko użytkownicy z uprawnieniami administratora.” czyli jakby takiego konta w ogole nie bylo

    Odpowiedz
  • avatar
    2018.01.07 19:39 t@

    Dyski WD mają automatyczna aktualizacje softu nie wymagająca reakcji użytkownika. Same hasło i login na moim wd nie działa. exploita nie próbowałem xD

    Odpowiedz
  • avatar
    2018.01.07 20:13 Sebastian Korotkiewicz

    Czy modele MyCloud/MyBook bez eth też są zagrożone?

    Odpowiedz
  • avatar
    2018.01.07 20:13 wujek

    >2019 rok
    >przeglądarki dalej nie blokują requestów na lokalne adresy z nielokalnych adresów

    Bo domyślne ładowanie obrazków z interfejsu webowego drukarki jest tak bardzo niezbędne dla prawidłowego działania sieci xD

    Odpowiedz
    • avatar
      2018.01.07 22:30 anulator

      Patrzcie patrzecie, a domyślnie to jak wchodzę na popularny portal, to jeszcze nie blokują mi zapytań do różnych analitics-google.com, ads.gdzieśtam.pl, baners.jeszczeinne.com, badanierynkuf.pl, gemiusów.pl itd. (i jeszcze tony ciasteczek bez czekolady z tych wszystkich „bonusów”) ;)

      Odpowiedz
  • avatar
    2018.01.07 20:15 Mati

    Ja mam całkiem inne oprogramowanie : 2.11.168.
    Login i hasło również nie pasują. Mam WD My Cloud EX2 4TB. Pozdrawiam

    Odpowiedz
    • avatar
      2018.01.07 22:17 Darek

      2.11.168 na WdMyCloudMirror. Podany login + pass nie przepuszcza.

      Odpowiedz
  • avatar
    2018.01.08 08:09 Daniel

    W urządzeniu WD My Cloud Mirror Gen1 problem został rozwiązany najnowszą aktualizacją firmware’u nr 2.11.168 z dnia 28.11.2017. Dla tej generacji urządzenia, fw nie doszedł z numeracją do 2.30.x.

    Odpowiedz
  • avatar
    2018.01.08 18:38 Marianna

    > Otóż przeglądarka użytkownika ma dostęp zarówno do internetu
    > jak i sieci lokalnej i gdy strona internetowa poprosi ją o
    > wywołanie obrazka z sieci lokalnej, ta grzecznie zapyta lokalny
    > serwer o wskazany zasób

    O_o

    Czy takie zachowanie jest domyślne? Da się to jakoś w ustawieniach Chrome’a/Firefoksa/Opery zablokować? I w ogóle po co istnieje taka możliwość?

    Odpowiedz
  • avatar
    2018.01.09 19:02 dunald

    v2.30.172 zainstalował mi się na początku listopada. Brak wspomnianego błędu…

    Odpowiedz
  • avatar
    2018.01.10 07:37 Przemo

    Mam Wd My book live ver. 02.4310-048:Core F/W.
    Czy mam się bać?

    Odpowiedz
    • avatar
      2018.01.12 22:59 Lukes

      MyBook Live jest dziurawy jak sito. Niestety jest to najnowsza wersja FW. Polecam odłączenie od sieci.

      Odpowiedz
  • avatar
    2019.04.23 22:42 Sebastian

    Przestrzegam przed zakupem tego badziewia. Leżą mi dwie sztuki. W 4Tb padł dysk po 2 latach ! W 3TB dysk jest OK (3 lata) ale miga dioda i pliki wiecznie się indeksują. Problem znany i dla zastanawiających się nad kupnem polecam w przeglądarce hasło „WD Cloud migająca dioda”
    Wydane pieniądze to jedno, stracone dane …
    Zakupiłem Synology DS. Testuję, ale już widzę że osiągnięty transfer 111MB/s to dla wdcloud marzenie

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Masz dysk WD MyCloud? Odłącz go od sieci zanim go ktoś skasuje

Komentarze