Backdoor vecchia di anni nei Nas di Western Digital

Con lo zampino di D-Link, che però ha già corretto il bug anni fa.



[ZEUS News - www.zeusnews.it - 10-01-2018]

wd mycloud backdoor

Se possedete un Nas della serie MyCloud prodotta da WD (Western Digital), ci sono buone probabilità che esso contenga una backdoor.

James Bercegay di GulfTech ha infatti rivelato diverse vulnerabilità nei dispositivi MyCloud, e una di esse è una backdoor presente negli apparecchi sin dalla fabbrica e vecchia di anni.

L'esistenza di questa falla non è stata scoperta solo di recente: recente è l'annuncio pubblico, ma l'azienda è stata avvisata circa sei mesi fa.

Western Digital però pare aver preferito non intervenire sino a novembre 2017, quando ha finalmente rilasciato il firmware 2.30.172 che dovrebbe sistemare il problema.

Sfruttare la backdoor per ottenere accesso di root al Nas (e quindi ai file lì conservati) non è molto complicato: «tutto ciò che bisogna fare è inviare una richiesta post che contenga un file da caricare con il parametro "Filedata[0]", un'indicazione su dove caricare il file all'interno del parametro "folder", e un header "Host" fasullo».

Compiute queste operazioni si può avviare una sessione shell, nella quale si può fare il login usando il nome utente mydlinkBRionyg e la password abc12345cba per avere i poteri di amministratore.

Tanta facilità nello sfruttarla rende la falla particolarmente pericolosa, anche perché il processo può essere automatizzato e usato per diffondere worm basati su questo bug.

Sondaggio
Quali di questi dati ti spiacerebbe perdere di pių?
Dati finanziari e di pagamento
Documenti relativi al lavoro
Email personali
Email di lavoro
Messaggi personali (SMS, Whatsapp ecc.)
Foto dei miei bambini
Foto dei viaggi
Foto private o particolari o sensibili di me stesso
Foto private o particolari o sensibili del mio partner
Altre foto (non sensibili)
Note e documenti personali
Password
Rubrica degli indirizzi o dei contatti telefonici
Scansioni di passaporti, patenti, assicurazioni e altri documenti personali

Mostra i risultati (1031 voti)
Leggi i commenti (30)

E se anche il Nas fosse accessibile soltanto dalla rete locale, basterebbe convincere l'utente a visitare un sito all'interno del quale si nasconde del codice che tenta di raggiungere il MyCloud usando uno degli indirizzi di default, come wdmycloud o wdmycloudmirror.

Un ulteriore dettaglio interessante è il fatto che all'interno del nome utente necessario per sfruttare la backdoor si legge chiaramente il nome dell'azienda concorrente D-Link (seppur mancante del trattino).

Ciò pare essere dovuto al fatto che i Nas di WD originariamente condividevano una parte di codice con i dispositivi Sharecenter prodotti da D-Link. Per questi, però, nel 2014 è stata rilasciata una patch che chiude la backdoor.

Di seguito, pubblichiamo la lista dei dispositivi MyCloud in cui la backdoor è presente. Come dicevamo, il firmware 2.30.172 dovrebbe risolvere il problema, per cui se si è in possesso di uno dei Nas indicati è bene scollegarlo subito dalla rete, verificare che il firwmare sia il più recente (oppure effettuare l'aggiornamento) e solo in seguito ricollegarlo.

MyCloud
MyCloudMirror
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)

Ritengo che un produttore serio come WD dovrebbe intervenire molto pių rapidamente quando gli viene segnalato un problema di sicurezza su un NAS da lui prodotto. Mi sembra che ancora una volta si sia persa un'occasione per dare un segnale chiaro di prontezza ed attenzione ai clienti.
14-1-2018 16:55

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Cosa pensi dei siti che conoscono la tua ubicazione e che ti mostrano annunci pubblicitari in base ai siti Internet che visiti o alla cronologia delle tue ricerche?
Mi piace! Č molto comodo
Non mi piace molto questo meccanismo ma Internet funziona cosė
Utilizzo opzioni specifiche del browser per salvaguardare la mia privacy e per evitare che i miei movimenti vengano controllati
Ho installato una speciale applicazione o un plug-in per evitare che i siti Internet ottengano la mia cronologia di navigazione e le mie ricerche
Č una questione che non mi ha mai interessato

Mostra i risultati (1528 voti)
Agosto 2018
Renzi con Tim fece lo stesso di Conte con Autostrade
La branchia artificiale stampata 3D che ci permetterà di respirare sott’acqua
Voto elettronico, due undicenni violano il sistema in appena 10 minuti
LibreOffice 6.1 è più veloce che mai e dispone di nuove icone
Connettore Lightning dell'iPhone: l'UE si prepara a far piazza pulita
Diventare hacker con meno di 2 euro. Grazie alle offerte speciali del dark web
Edge si unisce a Firefox e Chrome per eliminare le password dal web
L'app che trasforma la scrittura dell'utente in font per Windows 10
Luglio 2018
Dopo Monaco, anche la Bassa Sassonia abbandona Linux per Windows
Come attivare la nuova interfaccia Material Design nascosta in Chrome 68
Google ridisegna Chome: arrivano le schede tonde
Xiaomi Mi A2 e Mi A2 Lite, chi ha detto che un buon smartphone deve costare tanto?
Android ha i giorni contati: Fuchsia OS lo soppianterà entro cinque anni
Google accusa la UE: Android rischia di non essere più libero
L'attacco che inganna il GPS con mappe false e manda fuori strada
Tutti gli Arretrati


web metrics