Western Digital expédie la «porte dérobée de quelqu'un» avec mes lecteurs cloud - Occidental

Western Digital expédie la «porte dérobée de quelqu'un» avec les disques My Cloud



Western Digital has seemingly been shipping their My Cloud personal network attached storage solutions with an integrated backdoor. It's not really that complicated a backdoor either - a malicious user should always be able to use it. That stems from the fact that it's a hard coded backdoor with unchangeable credentials - logging in to someone's My Cloud is as simple as inputing 'mydlinkBRionyg' as the Administrator username and 'abc12345cba' as the respective password. Once logged in, shell access is unlocked, which allows for easy injection of commands.

La porte dérobée a été publiée par James Bercegay, avec GulfTech Research and Development, et a été divulguée à Western Digital le 12 juin 2017. Cependant, depuis que plus de 6 mois se sont écoulés sans qu'aucun correctif ou solution n'ait été déployé, les chercheurs ont divulgué et publié le vulnérabilité, qui devrait (devrait) finalement inciter WD à prendre des mesures pour résoudre le problème. Pour aggraver les choses, aucune action de l'utilisateur n'est requise pour permettre aux attaquants de profiter de l'exploit - la simple visite de sites Web malveillants peut laisser les lecteurs largement ouverts à l'exploit - et la sortie d'un module Metasploit pour cette vulnérabilité signifie que le code est maintenant là-bas, et Western Digital a une course entre ses mains. Le truc, c'est que ce n'est pas nécessaire.

Les modèles exploitables des appareils MyCloud de Western Digital incluent My Cloud Gen 2, My Cloud EX2, My Cloud EX2 Ultra, My Cloud PR2100, My Cloud PR4100, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 et My Cloud DL4100. Inutile de dire que jusqu'à ce qu'un correctif soit émis, la meilleure chose à faire est de déconnecter complètement ces disques de votre réseau local et de votre accès Internet. Mais ce n'est pas pour cela que les utilisateurs ont acheté ces disques à l'origine, n'est-ce pas, WD? Sources: GulfTech.org, via TechSpot, Packet Storm Security