Krypton Solid

La última tecnología en raciones de 5 minutos

La seguridad de My Cloud NAS de Western Digital bajo fuego

Western Digital lanzó una actualización de firmware el año pasado para abordar las vulnerabilidades críticas de seguridad de puerta trasera en sus productos My Cloud NAS, pero la compañía reconoció esta semana que hay más problemas de seguridad con los dispositivos que aún deben abordarse con actualizaciones de firmware.

Western Digital abordó los problemas de seguridad de My Cloud NAS en ciertos modelos en una publicación de blog corporativa que se actualizó el martes. Afirmó que los piratas informáticos podrían explotar la configuración predeterminada en varias condiciones: si tienen acceso a la red local de los propietarios, si el propietario de My Cloud ha habilitado el acceso a Dashboard Cloud en cierto modelo o los propietarios de My Cloud han habilitado un «reenvío de puertos» adicional a My Dispositivos en la nube.

“Para mitigar el problema, recomendamos encarecidamente que los propietarios de My Cloud que hayan realizado tales cambios deshabiliten el acceso a Dashboard Cloud y se aseguren de que su enrutador y dispositivo My Cloud estén seguros al deshabilitar funcionalidades de reenvío de puertos adicionales”, dice la actualización de la publicación del blog. “Todos los propietarios de My Cloud afectados deben restringir el acceso de invitados a la red local solo a personas de su confianza. Estamos trabajando en una actualización de firmware para este problema y la pondremos a disposición en nuestro sitio de descarga de soporte lo antes posible «.

Los dispositivos NAS son populares entre los usuarios domésticos y las pequeñas empresas. Los modelos afectados incluyen My Cloud, My Cloud Mirror, My Cloud Gen2, My Cloud PR2100, My CloudPR4100, My cloud EX2 Ultra, My Cloud EX2 y EX4, My Cloud EX200, EX4100, DL2100 y DL4100.

James Bercegay, un investigador de Gulftech, alertó inicialmente a Western Digital sobre dos ejemplos de fallas de seguridad de NAS en junio de 2017. Una falla que descubrió es que los dispositivos My Cloud eran vulnerables a la carga de archivos sin restricciones a través del script multi_uploadify.php porque estaba protegido “con una lógica defectuosa . «

«Esto le da acceso de root a la caja», dijo Bercegay en una entrevista el miércoles. “A medida que se carga el archivo, se escribe en el disco con los permisos de root. Este fue un código que se dejó allí por accidente … realiza una solicitud a través de un nombre de archivo inexistente de ‘mydlink.cgi’. Puede cargar cualquier archivo que desee «.

Bercegay dijo que también descubrió que los productos NAS tienen una vulnerabilidad de puerta trasera codificada a través de un solo archivo llamado NAS_Sharing.cgi, que los delincuentes pueden usar para obtener el control del sistema para robar datos y propagar malware. La vulnerabilidad de la puerta trasera da acceso simplemente usando el nombre de usuario «mydlinkBRionyg» y la contraseña «abc12345cba».

«Te da un control total», dijo. “Eres el superusuario definitivo en el dispositivo. Significa que eres Dios en esa máquina «.

Bercegay alertó a Western Digital, uno de los mayores fabricantes de discos duros del mundo, sobre las vulnerabilidades de seguridad del NAS en junio de 2017. La empresa de almacenamiento solicitó el período de gracia estándar de 90 días para solucionar el problema antes de revelarlo, pero le llevó seis meses. para lanzar la actualización de firmware v2.30.172 que solucionó los errores de acceso remoto.

“La trivialidad de explotar este problema lo hace muy peligroso e incluso desparasitable”, escribió Bercegay en un informe del 4 de enero en el sitio web de Gulftech. “No solo eso, sino que los usuarios conectados a la LAN tampoco están seguros. Un atacante podría literalmente apoderarse de su WD My Cloud con solo visitar un sitio web donde una etiqueta iframe o img incrustada realiza una solicitud al dispositivo vulnerable utilizando uno de los muchos nombres de host predeterminados predecibles para WD My Cloud, como ‘wdmycloud’ y ‘wdmycloudmirror’ ”.

Western Digital respondió a una consulta de entrevista sobre los problemas de seguridad del NAS con un correo electrónico:

«Los problemas menores se abordarán en futuras actualizaciones», declaró la empresa en el correo electrónico. “Además, el modelo de My Cloud Home se ha diseñado arquitectónicamente desde cero. No tenemos conocimiento de ninguna vulnerabilidad a los problemas de seguridad enumerados en los informes respectivos «.

Bercegay dijo que las empresas deberían poder responder con prontitud a los problemas de seguridad, pero que a veces tardan en hacerlo.

“No lleva mucho tiempo hacer estas cosas”, dijo. “Simplemente no lo priorizan. Hay mucha burocracia y trámites burocráticos, especialmente cuando se trata de seguridad. (Estos problemas ocurren en primer lugar) debido a una codificación descuidada. Es como 1999 de nuevo ”.

Western Digital recibió el premio PWNIE en 2016 por un proveedor que respondió más mal a un problema de seguridad.

Deja un comentario

También te puede interesar...

Las tintas NBN Co negocian con Telstra

NBN Co ha revelado que todos sus servicios de telecomunicaciones son proporcionados por la propia empresa, que, dependiendo de las negociaciones, podría llegar a ser su mayor competidor. Los requisitos de redes, telecomunicaciones y telefonía

El secreto del éxito del phisher

Tres académicos estadounidenses han publicado una investigación sobre por qué las estafas de phishing siguen teniendo éxito, años después de las advertencias públicas generalizadas por primera vez. La mayoría de las personas han recibido un

Virus BubbleBoy encontrado en la red

El virus BubbleBoy, que dio escalofríos a la comunidad antivirus a principios de esta semana, ya no es solo una rata de laboratorio. MSNBC ha confirmado que el virus, y una versión actualizada del

Es probable que Oracle pierda la marca

Ellison contrae gripe asiática … El líder del mercado de bases de datos, Oracle, advirtió el viernes que las ganancias se mantendrán sin cambios durante los próximos tres meses. Oracle había pronosticado inicialmente un ligero

Demandbase impulsa el marketing basado en cuentas

Cada trimestre, los editores de SearchCRM reconocen una tecnología para la innovación y el impacto en el mercado. El producto seleccionado este trimestre es de Demandbase. Que hace Utilizando algoritmos y un enfoque de marketing

5 consejos para gestionar grupos de LinkedIn

En marketing B2B, crear y administrar su propio grupo de LinkedIn para tu marca es una excelente estrategia para generar clientes potenciales. Los grupos de LinkedIn atraen a clientes potenciales de varias formas:

Novedades de Netflix: 10 de marzo de 2019

In the Badlands temporada 3 ahora en Netflix Bienvenido a su edición dominical de Netflix News, y aunque ha sido un fin de semana tranquilo para los nuevos lanzamientos, el lanzamiento de la Temporada 3,

Solución simple a un viejo problema.

El Reino Unido tiene una actitud esquizofrénica frente a la crisis de las competencias en tecnología de la información. Si bien se acepta comúnmente que los departamentos de TI luchan por ocupar puestos vitales, el

Oracle: ¿La nueva industria de chicos malos?

En la misma semana que Oracle Corp. Sufrió una decepción de relaciones públicas por el lanzamiento de una campaña de dragado de basura contra Microsoft, el director de la base de datos celebró una victoria