Masz dysk WD MyCloud? Odłącz go od sieci zanim go ktoś skasuje

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35578
Reakcje/Polubienia
24600
Miasto
Trololololo
Popularne dyski sieciowe firmy Western Digital okazały się tak dziurawe, że każda strona internetowa może skasować wszystkie pliki na urządzeniu podłączonym do sieci lokalnej. Wszystko dzięki tylnej furtce producenta i kilku innym błędom.


Naprawdę chcielibyśmy, by w roku 2018 urządzenia podłączane do internetu był wolne od błędów, nie miały nieusuwalnych haseł fabrycznych a ich producenci reagowali na zgłoszenia o błędach. Niestety żyjemy w innym świecie.


Dziura na dziurze

James Bercegay, badacz z firmy Gulftech,
Zaloguj lub Zarejestruj się aby zobaczyć!
. Już ten początek praktycznie gwarantuje ciekawy ciąg dalszy i nie inaczej było w tym przypadku. Badacz odkrył możliwość wgrywania dowolnych plików dzięki błędów w kodzie PHP panelu WWW urządzenia i napisał moduł Metasploita wgrywający PHP shella, ale nie to okazało się najgorsze. W pliku binarnym obsługującym polecenia CGI odkrył zapisane na sztywno konto administratora, zostawione przez producenta urządzenia. Aby zostac administratorem urządzenia wystarczy podać login mydlinkBRionyg oraz hasło abc12345cba.


Pewnie czytelnicy drapią się w głowę, co robi D-Link w nazwie konta w urządzeniu WD. Okazuje się, że takie samo konto istniało w oprogramowaniu dysku sieciowego D-Link DNS-320L, jednak zostało usunięte już w roku 2014. Najwyraźniej obaj producenci użyli tego samego kodu w swoich produktach. Odkrywca błędu zgłosił go do Western Digital już w czerwcu 2017, jednak do tej pory nie doczekał sie aktualizacji oprogramowania.


mycloud-580x312.jpg



Nie podłączyłem dysku do internetu, jestem bezpieczny

I tu przechodzimy do sedna sprawy. Otóż wywołanie odpowiedniego żądania do serwera WWW MyCloud nie wymaga wystawienia go na interfejsie publicznym. Wystarczy, że jakiś żartowniś zamieści na swojej stronie taki kod:


<img src="
Zaloguj lub Zarejestruj się aby zobaczyć!
">

1

<img src="
Zaloguj lub Zarejestruj się aby zobaczyć!
">

a każdy odwiedzający ją użytkownik dysku z włączonym urządzeniem dostępnym w sieci lokalnej pod domyślną nazwą straci wszystkie pliki. Fajne, prawda? Oczywiście złośliwe polecenie może zawierać zupełnie inne zadania, jak np. skonfigurowanie tylnej furtki dostępnej dla atakującego czy instalację złośliwego oprogramowania. Jak to działa? Otóż przeglądarka użytkownika ma dostęp zarówno do internetu jak i sieci lokalnej i gdy strona internetowa poprosi ją o wywołanie obrazka z sieci lokalnej, ta grzecznie zapyta lokalny serwer o wskazany zasób. Niestety to wywołanie, zawierające login i zakodowane w base64 hasło konta administratora, połączone z możliwością wstrzyknięcia dowolnego polecenia, spowoduje wywołanie komendy kasowania plików.


My takiego obrazka nie zamieściliśmy, jednak pewnie zaraz ktoś to zrobi, dlatego, jeśli używacie dysków WD MyCloud z poniższej listy to na wszelki wypadek odłączcie je od sieci (lub, jeśli lubicie emocje, nadajcie im nazwę którą trudniej zgadnąć). Na atak podatne są co najmniej modele


MyCloud MyCloudMirror My Cloud Gen 2 My Cloud PR2100 My Cloud PR4100 My Cloud EX2 Ultra My Cloud EX2 My Cloud EX4 My Cloud EX2100 My Cloud EX4100 My Cloud DL2100 My Cloud DL4100

1
2
3
4
5
6
7
8
9
10
11
12

MyCloud
MyCloudMirror
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

w wersji oprogramowania <= 2.30.165. Niestety nie wiadomo, czy i kiedy producent opublikuje aktualizację oprogramowania usuwającą zagrożenie.


Aktualizacja 17:45

Wykopowicze posiadający wspomniane dyski informują, że mają oprogramowanie nowsze niż opisywane powyżej, m.in. w wersji 2.30.172, co może (choć nie musi) oznaczać, że błędy zostały usunięte. Sprawdźcie wersję oprogramowania u siebie (bo różne modele otrzymały różne aktualizacje) i zobaczcie, czy wspomniany login i hasło dalej działają a także czy zostały usunięte pozostałe błędy.
info:zaufanatrzeciastrona.pl
 
Do góry