Backdoor vecchia di anni nei Nas di Western Digital

Con lo zampino di D-Link, che però ha già corretto il bug anni fa.



[ZEUS News - www.zeusnews.it - 10-01-2018]

wd mycloud backdoor

Se possedete un Nas della serie MyCloud prodotta da WD (Western Digital), ci sono buone probabilità che esso contenga una backdoor.

James Bercegay di GulfTech ha infatti rivelato diverse vulnerabilità nei dispositivi MyCloud, e una di esse è una backdoor presente negli apparecchi sin dalla fabbrica e vecchia di anni.

L'esistenza di questa falla non è stata scoperta solo di recente: recente è l'annuncio pubblico, ma l'azienda è stata avvisata circa sei mesi fa.

Proposte di lettura:
Gli hard disk in ceramica praticamente indistruttibili di Western Digital
L'update del firmware che uccide le soundbar di Samsung
D-Link, falla in migliaia di NAS non sarà mai corretta
Buoni 4, Cattivi 0?

Western Digital però pare aver preferito non intervenire sino a novembre 2017, quando ha finalmente rilasciato il firmware 2.30.172 che dovrebbe sistemare il problema.

Sfruttare la backdoor per ottenere accesso di root al Nas (e quindi ai file lì conservati) non è molto complicato: «tutto ciò che bisogna fare è inviare una richiesta post che contenga un file da caricare con il parametro "Filedata[0]", un'indicazione su dove caricare il file all'interno del parametro "folder", e un header "Host" fasullo».

Compiute queste operazioni si può avviare una sessione shell, nella quale si può fare il login usando il nome utente mydlinkBRionyg e la password abc12345cba per avere i poteri di amministratore.

Articoli suggeriti:
Gigabyte, centinaia di schede madri contengono una backdoor
Western Digital agli utenti: gli hacker hanno i vostri dati
Western Digital violata, sottratti 10 Tbyte di dati
Falla nei router D-Link, l'unica soluzione è sostituirli

Tanta facilità nello sfruttarla rende la falla particolarmente pericolosa, anche perché il processo può essere automatizzato e usato per diffondere worm basati su questo bug.

Sondaggio
Dati privati
Quali di questi dati ti spiacerebbe perdere di più?
Dati finanziari e di pagamento
Documenti relativi al lavoro
Email personali
Email di lavoro
Messaggi personali (SMS, Whatsapp ecc.)
Foto dei miei bambini
Foto dei viaggi
Foto private o particolari o sensibili di me stesso
Foto private o particolari o sensibili del mio partner
Altre foto (non sensibili)
Note e documenti personali
Password
Rubrica degli indirizzi o dei contatti telefonici
Scansioni di passaporti, patenti, assicurazioni e altri documenti personali

Mostra i risultati (1794 voti)
Leggi i commenti (37)

E se anche il Nas fosse accessibile soltanto dalla rete locale, basterebbe convincere l'utente a visitare un sito all'interno del quale si nasconde del codice che tenta di raggiungere il MyCloud usando uno degli indirizzi di default, come wdmycloud o wdmycloudmirror.

Un ulteriore dettaglio interessante è il fatto che all'interno del nome utente necessario per sfruttare la backdoor si legge chiaramente il nome dell'azienda concorrente D-Link (seppur mancante del trattino).

Ciò pare essere dovuto al fatto che i Nas di WD originariamente condividevano una parte di codice con i dispositivi Sharecenter prodotti da D-Link. Per questi, però, nel 2014 è stata rilasciata una patch che chiude la backdoor.

Di seguito, pubblichiamo la lista dei dispositivi MyCloud in cui la backdoor è presente. Come dicevamo, il firmware 2.30.172 dovrebbe risolvere il problema, per cui se si è in possesso di uno dei Nas indicati è bene scollegarlo subito dalla rete, verificare che il firwmare sia il più recente (oppure effettuare l'aggiornamento) e solo in seguito ricollegarlo.

MyCloud
MyCloudMirror
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (1)


Gladiator
Ritengo che un produttore serio come WD dovrebbe intervenire molto più rapidamente quando gli viene segnalato un problema di sicurezza su un NAS da lui prodotto. Mi sembra che ancora una volta si sia persa un'occasione per dare un segnale chiaro di prontezza ed attenzione ai clienti.
14-1-2018 16:55
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
13 gadget fantascientifici che esistono già
Quale di questi dispositivi degni di un film di fantascienza ma già esistenti vorresti avere?
Erascan: un cancellino per lavagne bianche in grado di effettuare una scansione con OCR di tutto ciò che cancella.
Tamaggo Ibi: una videocamera con lente circolare in grado di scattare foto a 360 gradi.
No More Woof: legge le onde cerebrali dei cani e traduce i pensieri in linguaggio umano.
Il drone per le consegne Amazon Prime Air: consegnerà i pacchi volando, rendendo obsoleti i corrieri.
WAT: la lampada alimentata ad acqua.
Transparent TV: grazie alla tecnologia TOLED (LED Organici Trasparenti) è dotato di uno schermo praticamente invisibile.
Electrolux Wirio, la cucina trasportabile composta da quattro diversi elementi, per cucinare e tenere in caldo i cibi.
Touch Hear, per toccare con un dito una parola stampata e ascoltare la pronuncia e il significato.
Immersed Senses, una maschera per sub che estrae ossigeno dall'acqua ed è dotata di schermo per mostrare informazioni utili.
La maniglia che si sterilizza da sola grazie a una lampada integrata a raggi ultravioletti.
Heart Rate Monitor Earphone, gli auricolari che rilevano il battito cardiaco e il consumo di ossigeno.
Voyce, il collare per cani che misura il battito cardiaco e il ritrmo respiratorio, conta le calorie e indica se l'animale non fa abbastanza esercizio.
Makerbot Z18, una stampante 3D che funge da replicatore per oggetti voluminosi.

Mostra i risultati (1859 voti)
Maggio 2025
n. 3940 del 30-05-2025
Il cripto-ladro è nella stampante e ruba un milione di dollari
n. 3939 del 28-05-2025
Amazon, la IA ha trasformato la programmazione in una catena di montaggio
n. 3938 del 28-05-2025
Lidar nelle auto: utile per la guida, letale per le fotocamere
n. 3937 del 26-05-2025
Azienda IA in tribunale per il suicidio di un adolescente
n. 3936 del 22-05-2025
Non è proprio legale... ma le sanzioni sono irrisorie
n. 3935 del 21-05-2025
Pirateria, multati in Italia anche gli utenti finali
n. 3934 del 19-05-2025
Bancomat da attivare e complessità digitale
n. 3933 del 17-05-2025
Un ''diritto a riparare'' piccolo, virtuoso e originale
n. 3932 del 15-05-2025
Siti per adulti, la verifica dell'età non avverrà tramite SPID
n. 3931 del 14-05-2025
Gli hard disk in ceramica praticamente indistruttibili di Western Digital
n. 3930 del 13-05-2025
Spagna, prove generali di apocalisse?
n. 3929 del 12-05-2025
LibreOffice agli utenti: è ora di abbandonare OpenOffice
n. 3928 del 10-05-2025
Il progetto che salva i vecchi PC insegnando a installare Linux
n. 3927 del 08-05-2025
Android 16 e lo smartphone diventa un PC
n. 3926 del 06-05-2025
Apocalisse Bitcoin
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 30 maggio
2025
Love, Death + Cats 4
2024
Facebook metterà le mani sui post pubblici per addestrare la propria IA
2023
Windows Update installa driver problematici per le GPU AMD
2022
Come fanno i truffatori a rubare soldi dai conti correnti?
2021
Il bug in iOS che obbliga a lasciare recensioni positive
2020
Democratici o repubblicani, i tentativi di censura non cambiano
2018
Pc con Windows 10 bloccati da Avast, ecco come riportarli alla funzionalità
2017
Il router col buco di Asus
2016
Scoperto per caso come realizzare la batteria virtualmente illimitata
2015
Il replicatore di Star Trek è (quasi) realtà
2014
Auto senza pilota, i pro
2013
Gmail si rinnova e introduce le cartelle
2012
Google Street View e privacy
2009
Il meglio del forum Windows XP
2008
"Incidente nucleare", ma era la beffa di un hacker
2007
Dkim, un nuovo metodo contro lo spam
2006
Troppo stress nei call center
2005
Chiuso un sito che offriva Guerre Stellari III
2003
Hyper-Threading per tutti
2002
SQLsnake, è allarme
2001
Acquistare online luce e gas
Olimpo Informatico


 
web metrics