Caixas WD My Cloud NAS podem ser invadidas pela internet, afirmam pesquisadores
NotíciaATUALIZAR: A Western Digital respondeu ao nosso pedido de uma declaração, que publicamos abaixo.
Pesquisadores de segurança da Securify descobriram uma vulnerabilidade nas caixas My Cloud NAS da Western Digital, que podem garantir aos invasores controle total sobre seus conteúdos. A exploração requer rede local ou acesso à Internet para um dispositivo My Cloud para ser executado e ignora os requisitos normais de login da caixa NAS..
Chamado de CVE-2018-17153, o bug poderia também dar aos invasores a capacidade de executar comandos que normalmente exigiriam privilégios administrativos. Depois que o acesso for obtido, os hackers podem visualizar, copiar, excluir ou substituir quaisquer arquivos armazenados no dispositivo.
Sua nuvem pode ser pwned
De acordo com a Securify, "O módulo CGI network_mgr.cgi contém um comando chamado cgi_get_ipv6 que inicia uma sessão administrativa que está vinculada ao endereço IP do usuário que faz a solicitação quando invocado com o sinalizador de parâmetro igual a 1. Chamada subseqüente de comandos que normalmente exigem privilégios de administrador são agora autorizados se um atacante define o nome de usuário = admin biscoito."
Cortando o jargão, isso significa essencialmente que é o modo como o WD My Cloud configura uma sessão de administração conectada a um endereço IP que aumenta a vulnerabilidade. Simplesmente adicionando o cookie nome de usuário = admin para uma solicitação HTTP CGI enviada por meio de uma rede local ou conexão com a Internet, qualquer pessoa pode obter acesso ao conteúdo armazenado na caixa NAS.
A Securify levantou a questão com a Western Digital em abril, quando a falha foi descoberta, mas nunca foi ouvida pela empresa. Após cinco meses de silêncio da WD, a Securify decidiu divulgar publicamente a vulnerabilidade.
Entramos em contato com a Western Digital para um comentário e a empresa confirmou que uma atualização de firmware será implantada em breve para corrigir o problema. "Estamos no processo de finalização de uma atualização de firmware programada que resolverá o problema relatado", a WD respondeu em um email. "Esperamos publicar a atualização em nosso site de suporte técnico em https://support.wdc.com/ dentro de algumas semanas."
- Consulte Mais informação: Revisão do WD My Passport Wireless SSD