ACTUALIZAR: Western Digital ha respondido a nuestra solicitud de una declaración, que hemos publicado a continuación..

Los investigadores de seguridad de Securify han descubierto una vulnerabilidad en las cajas de My Cloud NAS de Western Digital que puede otorgar a los atacantes el control total sobre sus contenidos. El exploit requiere una red local o acceso a Internet a un dispositivo My Cloud para poder ejecutarse y omite los requisitos habituales de inicio de sesión de la caja NAS.

Llamado CVE-2018-17153, el error también podría dar a los piratas informáticos la capacidad de ejecutar comandos que normalmente requerirían privilegios administrativos. Una vez que se ha obtenido acceso, los piratas informáticos pueden ver, copiar, eliminar o sobrescribir cualquier archivo almacenado en el dispositivo.

Tu nube puede ser pwned

Según Securify, "el módulo CGI de network_mgr.cgi contiene un comando llamado cgi_get_ipv6 que inicia una sesión de administrador que está vinculada a la dirección IP del usuario que realiza la solicitud cuando se invoca con el indicador de parámetro igual a 1. Invocación posterior de comandos que normalmente requieren privilegios de administrador ahora están autorizados si un atacante establece el nombre de usuario = admin Galleta."

Cortar a través de la jerga, básicamente significa que es la forma en que WD My Cloud configura una sesión de administrador conectada a una dirección IP que plantea la vulnerabilidad. Simplemente agregando la cookie nombre de usuario = admin A una solicitud HTTP CGI enviada a través de una red local o conexión a Internet, cualquiera puede acceder al contenido almacenado en la caja NAS.

Securify planteó el problema con Western Digital en abril, cuando se descubrió el defecto por primera vez, pero nunca recibió respuesta de la compañía. Después de cinco meses de silencio por parte de WD, Securify ha decidido revelar públicamente la vulnerabilidad..

Nos contactamos con Western Digital para un comentario y la compañía ha confirmado que se implementará una actualización de firmware en breve para solucionar el problema. "Estamos en el proceso de finalizar una actualización de firmware programada que resolverá el problema informado", respondió WD en un correo electrónico. "Esperamos publicar la actualización en nuestro sitio de soporte técnico en https://support.wdc.com/ en unas pocas semanas".

  • Lee mas: Revisión de WD My Passport Wireless SSD