Avviso di sicurezza per WD MyCloud: i dispositivi sono insicuri, ecco le alternative
12.1.2018
Traduzione: tradotto automaticamente
Le semplici soluzioni di archiviazione per utenti privati di Western Digital sono poco sicure. Chiunque può accedere ai tuoi dati con un semplice trucco. Il caso dimostra quanto gli hacker e le aziende possano collaborare.
Western Digital, o in breve WD, produce dischi rigidi e soluzioni di archiviazione progettati per offrire sicurezza e convenienza agli utenti domestici. Questo mette il produttore in costante conflitto con la scena della sicurezza informatica, in quanto le voci più forti di questa scena sono convinte che sicurezza e convenienza siano incompatibili. Chiunque rifletta su questa argomentazione per due secondi si renderà conto che si tratta di un'assurdità completamente disfattista, ma nondimeno. Il rumore è rumore.
Comunque sia, James Bercegay di GulfTech Research and Development ha esaminato da vicino il codice di WD MyClouds. Ha trovato gravi vulnerabilità di sicurezza. Ma non è una novità. James aveva già scoperto la falla nell'ottobre dello scorso anno. Nel suo avviso, descrive nella timeline come si è svolta la cosiddetta divulgazione.
Ma prima: se possiedi o vuoi acquistare uno dei seguenti dispositivi, sei a rischio.
Come gli hacker collaborano con le aziende
Il 6 ottobre 2017, James ha scoperto le vulnerabilità. Le ha immediatamente segnalate al produttore. "Ho contattato il produttore tramite il modulo di contatto sul sito web", scrive il ricercatore di sicurezza informatica. Due giorni dopo ha ricevuto una risposta che gli diceva di segnalare le sue scoperte al Product Security Incident Response Team (PSIRT). L'ha fatto immediatamente.
Il PSIRT ha poi verificato che non ci fossero problemi di sicurezza.
Il PSIRT ha poi controllato e confermato le lacune di WD indipendentemente dalle scoperte dell'hacker. Samuel Brown di WD ha contattato James un giorno dopo, il 13 ottobre. Samuel ha confermato che le lacune erano reali. Tre giorni dopo, il produttore ha contattato nuovamente James.
Western Digital e James Bercegay hanno concordato il modello di divulgazione responsabile. Ciò significa che l'InfoSec e il produttore concordano una scadenza. Durante questo periodo, l'hacker rimane in silenzio e il produttore cerca di risolvere le vulnerabilità sul lato software.
Dal 16 ottobre, Western Digital ha 90 giorni di tempo prima che James renda pubbliche le sue scoperte. Ma il 15 dicembre, l'hacker Zenofex di Exploitee.rs rende pubbliche le stesse scoperte. Non sa nulla della scadenza e, secondo tutti i rapporti, non contatta Western Digital. Sceglie la strada della piena divulgazione. Pubblica online tutti i dati delle vulnerabilità e dell'exploit. Possiamo solo ipotizzare i motivi. La divulgazione completa viene utilizzata quando i ricercatori di sicurezza informatica vogliono fare pressione su un produttore. Infatti, se il produttore non vuole correggere una vulnerabilità, può tenere segrete le lacune finché nessuno ne parla pubblicamente.
Dopo 79 giorni, però, cioè prima della scadenza, James Bercegay rende pubbliche le sue scoperte, probabilmente perché Western Digital ha pubblicato un aggiornamento del software che risolve le vulnerabilità. Non è noto se James abbia ricevuto un bug bounty, cioè denaro per aver scoperto la vulnerabilità.
Le vulnerabilità in dettaglio
Le scoperte di James sono piuttosto interessanti. Non dipingono un quadro particolarmente positivo del software versione 2.30.165 o precedente. Ha identificato i seguenti bug
- Pre Auth Remote Root Code Execution: un hacker può eseguire codice con diritti di amministratore sul dispositivo anche prima di dover accedere con nome utente e password .- Credenziali di amministratore codificate: una password di amministratore è memorizzata in modo permanente nel codice del software WD, che l'utente non può modificare. La password è disponibile in testo normale .
Pre Auth Remote Code Execution non è solo una vulnerabilità, ma una catena di diverse lacune, elementi di codice e manipolazione delle richieste. La combinazione di tutte queste offerte fa sì che un utente possa eseguire comandi sul WD MyClouds senza essere in grado di accedere al dispositivo.
Il termine Pre Auth Remote Code Execution è anche una concatenazione di descrittori.
- Pre Auth: Pre Autenticazione, cioè prima dell'autenticazione .- Remote: Da una postazione esterna
- Esecuzione del codice: Qualsiasi codice può essere eseguito .
Questo significa che un utente malintenzionato può eseguire comandi arbitrari da qualsiasi postazione senza conoscere il nome utente e la password. Tutto sommato, si tratta di qualcosa che sicuramente non vuoi.
Le credenziali di amministrazione codificate in modo rigido sono probabilmente un residuo dello sviluppo del software. I programmatori a volte inseriscono le credenziali in un programma per facilitare il loro lavoro di sviluppo. Questo permette loro di lavorare in modo più veloce ed efficiente, anche se è totalmente insicuro. La sicurezza non deve essere garantita nella fase di sviluppo, poiché il prodotto non è ancora sul mercato. L'idea è che questi punti di accesso vengano rimossi dal codice una volta completato il lavoro.
La parte di rimozione è stata persa nel caso dei prodotti MyCloud di Western Digital. Pertanto, puoi accedere facilmente a praticamente qualsiasi dispositivo con i seguenti dati.
- Nome utente: mydlinkBRionyg
- Password: abc12345cba
Non puoi modificare questi dati, né tantomeno accedervi.
Cosa posso fare? Sono condannato adesso?!
Hai un WD MyCloud a casa. Allora hai un problema. Non enorme, ma comunque un problema. La soluzione al problema è semplice: aggiorna il software. Infatti, grazie alla Responsible Disclosure, Western Digital è riuscita a risolvere il problema prima che venisse reso pubblico e che potesse essere sfruttato su larga scala.
Tutto quello che devi fare è aggiornare il software.
Tutto ciò che devi fare è aggiornare il software MyCloud a una versione superiore alla 2.30.165. Un controllo a campione per i dispositivi della serie EX-4 mostra che il software attuale al momento in cui scriviamo è la versione 2.30.174.
Se non ne puoi più di WD e vuoi un altro NAS, il nostro team di gestione dei prodotti consiglia i seguenti modelli:
Ci sono alcune considerazioni sulla situazione delle minacce in generale. Ovviamente ci sono sempre delle vulnerabilità nei dispositivi presenti in casa. Questo non cambierà presto. Ma non sei in pericolo immediato. Il motivo è che molto probabilmente non sei una persona di grande interesse globale. Potresti avere qualche foto delle vacanze e un po' di musica.
Ma non sei un personaggio di interesse globale.
Ma non sei Scarlett Johansson o Charlie Hunnam, che potrebbero avere foto di loro stessi nudi su MyCloud. Né sei una grande azienda che ha importanti segreti aziendali su WD MyCloud. E comunque, se possiedi un'azienda e memorizzi tutti i tuoi dati su un WD MyCloud, in pratica stai facendo qualcosa di sbagliato.
Ma questo non vuol dire che tu non abbia un'azienda.
Ma questo non significa che non dovresti preoccuparti della tua sicurezza. L'esecuzione di codice remoto sul tuo NAS potrebbe essere utilizzata come piattaforma di attacco per un'altra violazione. Oppure qualcuno potrebbe far passare i dati nelle tue mani, semplicemente perché siano archiviati in modo sicuro su un server svizzero.
Quindi, questo è tutto. Resta aggiornato e stai al sicuro!
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.
Informatica
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
38 commenti
later