Western Digital ima stranska vrata v napravah NAS

Strokovnjaki za varnost so v izdelkih Western Digital My Cloud našli novo ranljivost, ki omogoča neomejen dostop do vsebin na omrežnih napravah NAS. Da bi bila ranljivost še hujša - WD je uporabniško ime in geslo za omenjen dostop vgradil kar v sistemsko programsko opremo, ki je ni kar tako mogoče spremeniti.

Kdor se prijavi v spletno storitve naprave WD MyCloud, lahko z uporabniškim imenom »mydlinkBRionyg« in geslom »abc12345cba« dostopa do ukazne vrstice, kjer je obilica priložnosti za namestitev zlonamerne kode in utajo podatkov. Kot kaže, ne morejo biti varni niti tisti, ki napravo NAS uporabljajo v lokalnem omrežju. Zadostuje že obisk spretno umeščene kode na okuženi spletni strani, da prav tako sproži uporabo stranskih vrat.

WD je kot kaže zelo malomarno ravnal glede podpore svojim izdelkom. Varnostni inženir James Bercegay je družbo Western Digital obvestil o najdeni pomanjkljivosti že sredi leta 2017, vendar se predstavniki podjetja niso zganili. Zato se je odločil objaviti podrobnosti in primer, kako izkoristiti stranska vrata. Šele nato je WD pripravil popravek in ga objavil na svojih straneh.

Najdena ranljivost je potrjena v naslednjih izdelkih: My Cloud Gen 2, My Cloud EX2, My Cloud EX2 Ultra, My Cloud PR2100, My Cloud PR4100, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 in My Cloud DL4100.