Overslaan en naar de inhoud gaan

Bugs en backdoor in WD NAS-drives

Verschillende modellen van Western Digitals My Cloud-apparaten bevatten kwetsbaarheden, die toegang voor onbevoegden mogelijk maken. Bestandsupload, uitvoering van kwaadaardige code, en remote inloggen zijn mogelijk. De leverancier is een half jaar geleden al ingelicht.
Western Digital NAS
© Western Digital
Western Digital

Security-onderzoeker James Bercegay van GulfTech Research and Development heeft Western Digital op 19 juni geïnformeerd over de door hem gevonden beveiligingsgaten. Drie dagen later heeft de ontdekker bevestiging gekregen dat zijn melding in goede orde is ontvangen, meldt ITwire. De leverancier heeft hem daarna gevraagd 90 dagen lang te wachten met publieke onthulling van de kwetsbaarheden.

Ingebakken admin-account

WD heeft in november stilletjes fixes uitgebracht voor zijn onveilige NAS-modellen. Halverwege december bleek echter dat één van de bugs door een ander was ontdekt en geopenbaard. Vervolgens heeft Bercegay besloten zijn bevindingen gedetailleerd te openbaren, wat hij vorige week heeft gedaan. Onder de diverse serieuze security-issues die hij heeft ontdekt en gemeld, bevindt zich ook een ingebakken admin-account.

Deze ingebakken (hardcoded) log-in valt niet te wijzigen qua gebruikersnaam en wachtwoord. Bovendien is laatstgenoemde makkelijk te raden of te kraken, zoals vele berucht-slechte wachtwoorden. Met deze inloggegevens kunnen onbevoegden beheerderstoegang krijgen tot de kwetsbare My Cloud-apparaten.

Metasploit-module

Hackbare WD NAS-modellen zijn: MyCloud, MyCloudMirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 en My Cloud DL4100. De MyCloud 04.X-serie en MyCloud-apparaten met firmware 2.30.174 zijn niet vatbaar. De kwetsbaarheden zitten in de firmware tot en met versie 2.30.165.

De nu geopenbaarde reeks beveiligingsgaten is al toegevoegd als module aan securitytool Metasploit, waardoor misbruik nog gemakkelijker is geworden. Beheerders kunnen deze tool echter ook gebruiken om hun ICT-omgeving te scannen op kwetsbare WD NAS-apparaten. Vervolgens kunnen zij dan fixes installeren of de opslagapparaten offline halen en eventueel vervangen.

Handmatig downloaden

De in de loop van november uitgebrachte fixes zijn namelijk niet per definitie geïnstalleerd. Gebruikers en beheerders moeten deze firmware-updates handmatig downloaden vanaf de website van Western Digital. Dit kan ook via het beheerdashboard van de NAS-apparaten zelf worden gedaan.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in