Backdoor vecchia di anni nei Nas di Western Digital

Con lo zampino di D-Link, che però ha già corretto il bug anni fa.



[ZEUS News - www.zeusnews.it - 10-01-2018]

wd mycloud backdoor

Se possedete un Nas della serie MyCloud prodotta da WD (Western Digital), ci sono buone probabilità che esso contenga una backdoor.

James Bercegay di GulfTech ha infatti rivelato diverse vulnerabilità nei dispositivi MyCloud, e una di esse è una backdoor presente negli apparecchi sin dalla fabbrica e vecchia di anni.

L'esistenza di questa falla non è stata scoperta solo di recente: recente è l'annuncio pubblico, ma l'azienda è stata avvisata circa sei mesi fa.

Non perderti anche:
Gigabyte, centinaia di schede madri contengono una backdoor
Western Digital agli utenti: gli hacker hanno i vostri dati
Western Digital violata, sottratti 10 Tbyte di dati
Falla nei router D-Link, l'unica soluzione è sostituirli

Western Digital però pare aver preferito non intervenire sino a novembre 2017, quando ha finalmente rilasciato il firmware 2.30.172 che dovrebbe sistemare il problema.

Sfruttare la backdoor per ottenere accesso di root al Nas (e quindi ai file lì conservati) non è molto complicato: «tutto ciò che bisogna fare è inviare una richiesta post che contenga un file da caricare con il parametro "Filedata[0]", un'indicazione su dove caricare il file all'interno del parametro "folder", e un header "Host" fasullo».

Compiute queste operazioni si può avviare una sessione shell, nella quale si può fare il login usando il nome utente mydlinkBRionyg e la password abc12345cba per avere i poteri di amministratore.

Tanta facilità nello sfruttarla rende la falla particolarmente pericolosa, anche perché il processo può essere automatizzato e usato per diffondere worm basati su questo bug.

Sondaggio
Quali di questi dati ti spiacerebbe perdere di più?
Dati finanziari e di pagamento
Documenti relativi al lavoro
Email personali
Email di lavoro
Messaggi personali (SMS, Whatsapp ecc.)
Foto dei miei bambini
Foto dei viaggi
Foto private o particolari o sensibili di me stesso
Foto private o particolari o sensibili del mio partner
Altre foto (non sensibili)
Note e documenti personali
Password
Rubrica degli indirizzi o dei contatti telefonici
Scansioni di passaporti, patenti, assicurazioni e altri documenti personali

Mostra i risultati (1717 voti)
Leggi i commenti (30)

E se anche il Nas fosse accessibile soltanto dalla rete locale, basterebbe convincere l'utente a visitare un sito all'interno del quale si nasconde del codice che tenta di raggiungere il MyCloud usando uno degli indirizzi di default, come wdmycloud o wdmycloudmirror.

Un ulteriore dettaglio interessante è il fatto che all'interno del nome utente necessario per sfruttare la backdoor si legge chiaramente il nome dell'azienda concorrente D-Link (seppur mancante del trattino).

Ciò pare essere dovuto al fatto che i Nas di WD originariamente condividevano una parte di codice con i dispositivi Sharecenter prodotti da D-Link. Per questi, però, nel 2014 è stata rilasciata una patch che chiude la backdoor.

Di seguito, pubblichiamo la lista dei dispositivi MyCloud in cui la backdoor è presente. Come dicevamo, il firmware 2.30.172 dovrebbe risolvere il problema, per cui se si è in possesso di uno dei Nas indicati è bene scollegarlo subito dalla rete, verificare che il firwmare sia il più recente (oppure effettuare l'aggiornamento) e solo in seguito ricollegarlo.

MyCloud
MyCloudMirror
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)


Gladiator
Ritengo che un produttore serio come WD dovrebbe intervenire molto più rapidamente quando gli viene segnalato un problema di sicurezza su un NAS da lui prodotto. Mi sembra che ancora una volta si sia persa un'occasione per dare un segnale chiaro di prontezza ed attenzione ai clienti.
14-1-2018 16:55
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è il prodotto che più ti attira tra questi?
Un lettore di ebook
Uno smartphone di ultima generazione
Un tablet o pad
Un navigatore satellitare
Un lettore Mp3 e/o video (portatile o da salotto)

Mostra i risultati (4651 voti)
Settembre 2023
n. 3743 del 25-09-2023
Prime Video, arriva la pubblicità
n. 3742 del 21-09-2023
X (ex Twitter), tutti gli utenti dovranno pagare
n. 3741 del 16-09-2023
iPhone 15, il connettore USB-C è zoppo
n. 3740 del 12-09-2023
Il bug di Windows che rende velocissimo Esplora File
n. 3739 del 07-09-2023
Lidl, merendine ritirate: invitavano a visitare sito porno
n. 3738 del 04-09-2023
Meta pensa a Instagram e Facebook a pagamento nella UE
Agosto 2023
n. 3737 del 31-08-2023
Chrome, nuova interfaccia: ecco come abilitarla
n. 3736 del 27-08-2023
L'Internet delle brutte Cose
n. 3735 del 24-08-2023
LibreOffice balza dalla versione 7.6 alla 24.2
n. 3734 del 23-08-2023
La scorciatoia che “congela” Gestione Attività
n. 3733 del 20-08-2023
Ford agli utenti: spegnete il Wi-Fi dell'auto
n. 3732 del 16-08-2023
Sony e Universal contro i 78 giri dell'Internet Archive
n. 3731 del 12-08-2023
Meloni decide la nazionalizzazione di TIM
n. 3730 del 10-08-2023
Da Z-Library un'estensione per aggirare i blocchi
n. 3729 del 07-08-2023
Da Microsoft uno strumento che attiva le funzioni nascoste di Windows 11
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 25 settembre
2022
Windows 11 2022 Update, meglio non avere fretta di installarlo
2021
Aggiornamenti d’emergenza per dispositivi Apple
2020
Da Microsoft un Office senza abbonamento nel 2021
2019
Tutta la verità sul caso del dominio Italia Viva
2017
Windows, gli ultimi aggiornamenti bloccano gli account utente
2016
La stufetta a candele che non consuma elettricità
2015
Bloccare le email degli scocciatori con Gmail
2014
ShellShock, falla critica in Linux e Mac OS X
2013
La stampante 3D che non si limita alla plastica
2012
La tastiera virtuale che sta in un portachiavi
2011
Il capitano Kirk racconta le differenze tra Star Wars e Star Trek
2010
O!Play HD2, il media player USB 3
2009
Facebook e Nielsen si alleano per misurare la pubblicità
2008
Compra un telefonino e ci trova dentro le foto porno
2007
Taser e altre armi vomitevoli
2006
Lo scorporo della rete
2005
Il futuro della Rete, il contributo della Chiesa
2002
I tuoi DVD con Philips
2001
Cd anticopia, la farsa continua
Olimpo Informatico


 
web metrics