[Перевод] Бэкдор в WD My Cloud доступный каждому


На днях была опубликована уязвимость в NAS устройствах от Western Digital. А точнее натуральный встроенный бэкдором, для которого на текущий момент все еще нет официальной заплатки.

Бэкдор позволяет получить root доступ к устройствам просто воспользовавшись железно прошитым логином и паролем для многих NAS решений.
Подробнее под катом.

James Bercegay обнаружил уязвимость в середине 2017 года.Но спустя 6 месяцев, которые были предоставлены WD на устранение проблемы, официальный патч так и не был выпущен.

Детали об уязвимости и пример эксплоита был опубликованы на GulfTech 5 января 2018.

Дополнительной неприятностью бэкдора является то, что логин и пароль захардкожены и не могут быть просто так изменены — любой может воспользоваться админ-логином «mydlinkBRionyg» и паролем «abc12345cba» чтобы зайти в My Cloud и получить доступ к shell, что развязывает руки для уймы вариантов несанкционированного использования. Ситуация должна чувствительно ударить по репутации компании — недоглядеть подобные недочеты в продакшене сетевых NAS решений, о безопасности которых WD много пишет (в том числе и на хабре) — это очень непрофессионально.

Если вы считаете, что ваш домашний NAS не висит открытым доступом с инета, а просто включен у вас дома в локальной сети, он все равно может быть атакован через другое пользовательское устройство (компьютер, планшет, телефон). Пользователь со своего устройства может посетить веб-сайт, на котором злоумышленник повесил специально сгенеренный HTML image или IFrame, через который он может попытаться выполнить запрос устройствам в вашей локальной сети, используя предсказуемые названия хостов и получить несанкционированный доступ даже не пытаясь атаковать вас активным сканированием.

Модели, которые подвержены уязвимости:

My Cloud Gen 2
My Cloud EX2
My Cloud EX2 Ultra
My Cloud PR2100
My Cloud PR4100
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

Metasploit публично доступен — любой может его скачать и использовать для атаки NAS устройств. Да, это тот самый момент, когда скрипткидди опасны для каждого владельца вышеуказанных моделей.

Пока производитель не выпустит патч и не предложит исправление уязвимости, рекомендуется отключить (или отключать на время неиспользования) устройства в ваше локалке и блокировать им доступ к интернет.