Poważna i łatwa do wykorzystania luka w zabezpieczeniu NASów od WD
Autor: Wedelek | źródło: Hexus | 05:14
(2)
Nad rodziną serwerów NAS MyCloud od firmy Western Digital zebrały się czarne chmury po opublikowaniu odnalezionej luki w zabezpieczeniach, która pozwala na zdalny dostęp do zgromadzonych na dyskach plików. W tym konkretnym przypadku olbrzymie kontrowersje wzbudza zarówno żenująco niski poziom zabezpieczeń jak i bierność firmy, która o problemie była informowana kilka miesięcy temu i od tego czasu nic z tą wiedzą nie zrobiła. Lukę wykrył ekspert ds. bezpieczeństwa Remco Vermeulen i już w kwietniu 2017 roku poinformował o niej WD. Standardowo tzw. białe kapelusze (white hat) dają firmom 90 dni na reakcję po czym publikują szczegółowe informacje o znalezisku.
Vermulen jednak złamał tę zasadę i czekał ponad 260 dni na wydanie przez WD stosownej łatki. Firma zwlekała z jej wydaniem tak długo, że w tzw. międzyczasie inny zespół wpadł na ślad luki i nie omieszkał podzielić się swoim odkryciem z całym światem. Postępowanie WD jest tym bardziej bulwersujące, że błędnie zaimplementowane zabezpieczenie może obejść praktycznie każdy użytkownik komputera PC z podstawową wiedzą o działaniu tzw. ciasteczek i programowaniu. Okazuje się, że aby dostać się do panelu administracyjnego urządzenia z ustawionym zewnętrznym dostępem za pośrednictwem sieci Internet wystarczy tylko znać jego adres IP, utworzyć sesję administratora z użyciem CGI oraz ręcznie dodać ciasteczko o wartości „username=admin”.
Blamaż zmusił WD do działania, a firma zapowiedziała wydanie nowej wersji oprogramowania w przeciągu kilku tygodni. Koncern twierdzi, że nowe urządzenia z serii My Cloud Home są wolne od opisywanej luki, ale już starsze modele takie jak My Cloud EX2, EX4 czy Mirror mogą zostać bardzo łatwo zinfiltrowane.