Proponha uma correção, faça uma sugestão
Cuidado, My Cloud da WD tem uma falha que permite acesso da Internet sem password
Com a chegada dos serviços cloud, muitos começaram a preocupar-se com as questões de privacidade e o roubo dos dados. Isso levou a que os NAS ganhassem fulgor e fossem a escolha de muitos.
Nesta área a WD é um dos principais fabricantes, onde tem muitas soluções. A My Cloud é uma delas e descobriu-se agora que tem uma falha de segurança grave e que pode ser explorada de forma muito simples.
A linha My Cloud da WD é uma das mais bem sucedidas da marca e das que mais é escolhida pelos utilizadores domésticos. Para além do armazenamento local de dados, permite o acesso remoto aos dados dos utilizadores a partir de qualquer ponto da Internet.
Claro que tem mecanismos de segurança para impedir o acesso não autorizado e proteger os dados armazenados. Mas o que foi descoberto deita por terra esta segurança.
Com uma simples chamada ao endereço público destes NAS, é possível entrar no My Cloud e aceder de forma total aos dados dos utilizadores, sem que qualquer password seja pedida.
I recorded a poc showing how a user’s browser can be abused to attack the #MyCloud that is only accessible on the local network. It chains the privilege escalation with a post auth command injection to create a reverse shell. pic.twitter.com/eTRtlIlVRN
— Remco Vermeulen (@RemcoVermeulen) September 18, 2018
Foi o investigador de segurança Remco Vermeulen que descobriu a falha nos equipamentos da Western Digital. Segundo ele, o problema está num script que chama um comando com permissões de administrador e define um cookie com essa indicação. Ao ser explorado o cookie, este atribui as permissões de admin e abre assim a porta aos atacantes.
Curiosamente esta falha foi reportada há mais de 1 ano e até agora a empresa ainda não a mitigou, tendo por isso o investigador decidido torná-la pública. As recentes atualizações de software não corrigiram a falha, que está pública e que pode ser explorada.
O problema foi também confirmado por outra equipa de investigadores e até o código para o explorar foi tornado público.
Espera-se que muito em breve a Western Digital corrija a falha numa atualização futura, agora que o problema está público e que qualquer um o pode explorar.
A falha foi descoberta no modelo My Cloud WDBCTL0020HWT da Western Digital, a correr a versão de firmware 2.30.172, mas sabe-se que deverá estar presente n o resto da linha My Cloud, uma vez que este partilha código entre si.
Segundo o investigador de segurança, a única forma de proteção neste momento é o desligar dos equipamentos My Cloud, para que assim estejam isolados da rede e longe do acesso dos atacantes.
Este artigo tem mais de um ano
Loading ...
“esta falha foi reportada há mais de 1 ano e até agora a empresa ainda não a mitigou”
espectáculo, assim vamos longe!!!
Como cliente da Western Digital (e em particular, como possuidor de 2 NAS com o serviço My Cloud) não vejo qualquer problema nesta questão. O serviço em si já é tão mau, mas tão mau, que mesmo que consigam rebentar com o acesso não devem conseguir ter acesso ao mesmo. É que 99% das vezes não é possível aceder “de fora” ao NAS que está dentro de casa. Umas vezes dá, outras não dá. Por isso, estou tranquilo.
+100000
Acho que têm que rever o artigo. Como podem ver até pelo texto que colocam o exploit é feito dentro da rede local.
Nada disso, vê bem o que é mostrado.
Uso produtos WD, mas não uso o MyCloud.
Não tenho NAS My Cloud WD, mas não me parece que seja necessário desligá-lo da rede interna. O que é preciso fazer é desligá-lo da rede externa – não permitir o acesso a partir da internet.
Os NAS têm uma opção para permitir o acesso a partir da internet. Esta é que é preciso desligar neste caso.
“I recorded a poc showing how a user’s browser can be abused to attack the #MyCloud that is only accessible on the local network.”
Traduzindo: “Gravei um post mostrando como o navegador de um usuário pode ser usado para atacar o #MyCloud, acessível apenas na rede local.”
Ou seja, se o NAS estiver ligado à rede “interna” e esta estiver ligada à internet pelos vistos é possível.
Mas já estou como o utilizador Oliveira escreveu algures aí para cima, o serviço já é tão mau para quem tem a password e raramente se consegue utilizar que para quem não tem password então deve ser impossível! Ou então até é mais fácil, sei lá! 🙂
OK. Já percebi.
Esqueçam lá aWestern Digital. Já foi boa nos discos mecânicos antigos. Agora, e por experiência minha que já tive dois externos, deram o ‘badagaio’ cedo. Penso que a nível de cloud, a IOMEGA, agora Lenovo e a Toshiba tem melhores produtos
Já é a segunda vez que troco um HD da wd por não prestar.
Com quantas horas e quedas?
Sem querer falar mal, para quem já utilizou equipamentos NAS da Synology ou da Qnap, experimentar um produto da linha “My Cloud” da WD é mau demais!
Um produto mal concebido, faltam-lhe funcionalidades e aceder aos dados é um castigo.
Transferir ficheiros via interface web/browser, impede que se consiga aceder aos ficheiros via SMB (\\192.168.xx.xx). E vice versa.
E caricato é que quando ligado a um MAC aparece uma pasta “TimeMachineBackup” que é impossível de ser acedida via PC com Windows. Tudo o que lá coloquei via MAC, tive de re-transferir para a pasta “Public” que pode ser acedida via SMB sem qualquer tipo de proteção. E nem dá para colocar password.
Até os velhinhos NAS Iomega era claramente superiores em termos de funcionalidades.
Há tempos foi detetada uma vulnerabilidade no SSL e a Qnap prontamente lançou actualizações para todos os equipamentos, até mesmo para equipamentos que tinham sido descontinuados. Isto sim é profissionalismo!
Uma pergunta: alguém sabe como substituir o firmware da “My Cloud” e instalar um “de jeito” da comunidade Open Source? Penso que o hardware pode ser reaproveitado.
Eu consigo transferir ficheiros via SMB, apenas me é pedida a autenticação antes. Só tem que ativar a opção na interface web antes.
Tentei uma vez modificar o firmware (uma vez que é linux apenas queria acrescentar medidas de segurança) e deixou de conseguir iniciar.
Pelo que percebi isto aplica-se a versão anterior dos My Cloud sera que se aplica aos novos My Cloud Home?
Também tenho essa duvida. Alguém consegue ajudar?
Já agora dou o meu feedback sobre o Mycloud Home.
É um produto horrivel. Dificil de configurar os acesso para visualização dos conteudos em streaming e as velocidades de consulta e transferência de ficheiros são terriveis. Em termos de fiabilidade até agora tudo bem sempre ligado à quase um ano.
Não aconselho a ninguém.
Boa tarde
Sabem se essa falha já foi entretanto resolvida por parte da WD?
Obrigado