2018/09/19

WD My Cloud permite acesso sem password

Quem utilizar um dos NAS My Cloud da WD deverá desligá-lo da rede o mais depressa possível, pois existe uma vulnerabilidade que permite que um atacante consiga entrar como administrador sem necessitar de password.

Não é a primeira vez que se descobrem falhas de segurança na família My Cloud da WD, mas desta vez trata-se de uma falha tão, mas tão básica, que nos faz temer quantas mais vulnerabilidades poderão existir nestes (e noutros) produtos. Segundo os investigadores que descobriram esta falha na autenticação dos WD My Cloud, basta que um atacante especifique um cookie com o valor "username=admin" para que tenham acesso imediato ao NAS com todos os privilégios de administrador.

Também não inspirará qualquer confiança - a nível de segurança - que a WD tenha sido informada desta falha a 10 de Abril, e passados mais de cinco meses a falha continue por corrigir, tendo deixado todos os utilizadores vulneráveis ao longo destes meses, e agora ainda mais, uma vez que a falha foi tornada pública.

Uma pesquisa rápida revela que em Portugal existem pelo menos 46 utilizadores que estão expostos publicamente e em risco de terem os seus dados roubados ou eliminados.


Se tiverem um WD My Cloud ou conhecerem quem tenha um, será conveniente garantir que o mesmo não esteja acessível da internet (e um email enviado para a WD a expressarem o desagrado pela sua inacção relativamente à correcção de falhas graves de segurança também não será mal pensado.)

8 comentários:

  1. Eu tenho um equipamento destes. Tenho uma duvida, pois não tenho a certeza se percebi bem: isto acontece apenas se o "atacante" tiver inicialmente acesso à rede? Ou através da internet consegue remotamente ter acesso? Obrigado.

    ResponderEliminar
    Respostas
    1. Pelo que percebi no site securify.nl, é necessário o acesso à rede interna. Ou seja, percebo a preocupação, porque é realmente uma falha de segurança, mas não será caso de alarmismo... certo?

      Eliminar
    2. Como se pode ver na 2ª imagem, há quem os tenha exposto na net (e aquilo não será uma pesquisa exaustiva).

      Eliminar
    3. Ok. Certo. Mas creio que não devam existir apenas aqueles equipamentos online que aparecem no site. Fiz uma procura, e não aparece por exemplo o meu IP... Ou seja, será que alguns estão a bloquear o acesso de outra forma?

      Eliminar
    4. Não conheço o sistema deles, mas poderá ser alguma opção que permita o acesso remoto e exponha o dispositivo na internet. Se não estiver acessível do exterior, obviamente a preocupação será muito mais reduzida.

      Eliminar
    5. Muito Obrigado Carlos. De qualquer forma tens toda a razão: "existe uma vulnerabilidade que permite que um atacante consiga entrar como administrador sem necessitar de password". E isso, não me vai deixar descansado hoje, até pelo menos descobrir se realmente a MyCloud continua protegida ou preciso de tomar alguma medida.
      Porque, se eu tiver duvidas quanto à segurança, deixa de cumprir com o objectivo pelo qual comprei...
      Em ultimo caso, e como estou a iniciar um projeto Raspberry=Servidor, "arranco" o disco e ligo-o diretamente ao Raspberry :)

      Eliminar
    6. :) Afinal já o "apanhei"... está desprotegido. Bem, logo já vou ter trabalho (:

      Eliminar
  2. Mais uma razão para que este tipo de software seja preferencialmente de código aberto e com uma boa comunidade em torno do seu desenvolvimento, como é o caso do FreeNAS, do OpenMediaVault ou do NAS4Free.

    ResponderEliminar