Masz dysk WD MyCloud? Odłącz go od sieci zanim go ktoś skasuje

dodał 7 stycznia 2018 o 15:51 w kategorii Wpadki  z tagami:
Masz dysk WD MyCloud? Odłącz go od sieci zanim go ktoś skasuje

Popularne dyski sieciowe firmy Western Digital okazały się tak dziurawe, że każda strona internetowa może skasować wszystkie pliki na urządzeniu podłączonym do sieci lokalnej. Wszystko dzięki tylnej furtce producenta i kilku innym błędom.

Naprawdę chcielibyśmy, by w roku 2018 urządzenia podłączane do internetu był wolne od błędów, nie miały nieusuwalnych haseł fabrycznych a ich producenci reagowali na zgłoszenia o błędach. Niestety żyjemy w innym świecie.

Dziura na dziurze

James Bercegay, badacz z firmy Gulftech, zabrał się za analizę dysków sieciowych Western Digital My Cloud. Już ten początek praktycznie gwarantuje ciekawy ciąg dalszy i nie inaczej było w tym przypadku. Badacz odkrył możliwość wgrywania dowolnych plików dzięki błędów w kodzie PHP panelu WWW urządzenia i napisał moduł Metasploita wgrywający PHP shella, ale nie to okazało się najgorsze. W pliku binarnym obsługującym polecenia CGI odkrył zapisane na sztywno konto administratora, zostawione przez producenta urządzenia. Aby zostac administratorem urządzenia wystarczy podać login mydlinkBRionyg oraz hasło abc12345cba.

Pewnie czytelnicy drapią się w głowę, co robi D-Link w nazwie konta w urządzeniu WD. Okazuje się, że takie samo konto istniało w oprogramowaniu dysku sieciowego D-Link DNS-320L, jednak zostało usunięte już w roku 2014. Najwyraźniej obaj producenci użyli tego samego kodu w swoich produktach. Odkrywca błędu zgłosił go do Western Digital już w czerwcu 2017, jednak do tej pory nie doczekał sie aktualizacji oprogramowania.

Nie podłączyłem dysku do internetu, jestem bezpieczny

I tu przechodzimy do sedna sprawy. Otóż wywołanie odpowiedniego żądania do serwera WWW MyCloud nie wymaga wystawienia go na interfejsie publicznym. Wystarczy, że jakiś żartowniś zamieści na swojej stronie taki kod:

<img src="http://wdmycloud/cgi-bin/nas_sharing.cgi?dbg=1&cmd=51&user=mydlinkBRionyg&passwd=YWJjMTIzNDVjYmE&start=1&count=1;rm+-rf+/;">

a każdy odwiedzający ją użytkownik dysku z włączonym urządzeniem dostępnym w sieci lokalnej pod domyślną nazwą straci wszystkie pliki. Fajne, prawda? Oczywiście złośliwe polecenie może zawierać zupełnie inne zadania, jak np. skonfigurowanie tylnej furtki dostępnej dla atakującego czy instalację złośliwego oprogramowania. Jak to działa? Otóż przeglądarka użytkownika ma dostęp zarówno do internetu jak i sieci lokalnej i gdy strona internetowa poprosi ją o wywołanie obrazka z sieci lokalnej, ta grzecznie zapyta lokalny serwer o wskazany zasób. Niestety to wywołanie, zawierające login i zakodowane w base64 hasło konta administratora, połączone z możliwością wstrzyknięcia dowolnego polecenia, spowoduje wywołanie komendy kasowania plików.

My takiego obrazka nie zamieściliśmy, jednak pewnie zaraz ktoś to zrobi, dlatego, jeśli używacie dysków WD MyCloud z poniższej listy to na wszelki wypadek odłączcie je od sieci (lub, jeśli lubicie emocje, nadajcie im nazwę którą trudniej zgadnąć). Na atak podatne są co najmniej modele

MyCloud 
MyCloudMirror 
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

w wersji oprogramowania <= 2.30.165. Linia oprogramowania 0.4x nie jest na opisywane błędy podatna. Niestety nie wiadomo, czy i kiedy producent opublikuje aktualizację oprogramowania usuwającą zagrożenie. Nie bez powodu Western Digital otrzymał w 2016 nagrodę Pwnie za najgorszą reakcję dostawcy.

Inni badacze także nie odchodzili z pustymi rękami.

Aktualizacja 17:45

Wykopowicze posiadający wspomniane dyski informują, że mają oprogramowanie nowsze niż opisywane powyżej, m.in. w wersji 2.30.172, co może (choć nie musi) oznaczać, że błędy zostały usunięte. Sprawdźcie wersję oprogramowania u siebie (bo różne modele otrzymały różne aktualizacje) i zobaczcie, czy wspomniany login i hasło dalej działają a także czy zostały usunięte pozostałe błędy.

U jednego z Wykopowiczów z oprogramowaniem w wersji 2.30.174 wspomniany login i hasło nie działają, a pliku umożliwiającego wywołanie exploita brak. Pokazuje to, że warto dbać o aktualizacje każdego komponentu domowej sieci. Tak czy inaczej, nie wystawiajcie swoich urządzeń do świata i wymyślajcie im nietypowe nazwy i nietypowe adresy IP w sieci lokalnej.

Aktualizacja 2018-01-08 12:30

Otrzymaliśmy stanowisko firmy Western Digital, które w całości cytujemy poniżej:

Firma Western Digital zapoznała się i przeanalizowała doniesienia nt. błędów w zabezpieczeniach produktów z serii My Cloud. Specjalista ds. Bezpieczeństwa, który odkrył problem, skontaktował się z nami w 2017 r. – zgłoszone przez niego krytyczne luki w zabezpieczeniach zostały załatane w aktualizacji firmware’u w 2017 (w wersji v2.30.172)W kolejnych aktualizacjach usunięto również pomniejsze błędy. Zdecydowanie zachęcamy klientów do kontaktowania się ze wsparciem technicznym Western Digital (https://support.wdc.com) w celu uzyskania pomocy w kwestii aktualizowania naszych urządzeń.

Przypominamy też, że zawsze należy dbać, by na urządzeniu zainstalowane było najnowsze oprogramowanie – rekomendowanym rozwiązaniem jest korzystanie z funkcji automatycznych aktualizacji. Zalecamy również wdrożenie klasycznych dobrych praktyk z dziedziny bezpieczeństwa, takich jak regularne tworzenie kopii zapasowych danych czy ochronę hasłami, a także zabezpieczenie routera za pomocą którego korzystamy z osobistej chmury lub urządzenia NAS.

Western Digital stale pracuje nad zwiększeniem możliwości oraz poziomu bezpieczeństwa naszych produktów – współpracujemy w tym celu m.in. ze społecznością ekspertów ds. bezpieczeństwa i rozwiązujemy zgłaszane przez nich problemy. Zachęcamy naszych klientów również do odpowiedzialnego zgłaszania wszelkich takich problemów, co pozwoli naszym specjalistom na bieżąco usuwać błędy i zapewnić klientom odpowiedni poziom bezpieczeństwa.