Global Preloader
Vulnerabilidad
(09/Jan/2018) Backdoor en dispositivos de almacenamiento digital de Western

Backdoor en dispositivos de almacenamiento digital de Western

Las actualizaciones de firmware lanzadas por Western Digital para su familia de dispositivos MyCloud abordan una serie de problemas de seguridad, incluida una cuenta de administrador de backdoor codificada.

Las vulnerabilidades se encontraron en el firmware WDMyCloud anterior a la versión 2.30.165 y se dice que afectan a dispositivos como MyCloud, MyCloudMirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4 , My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 y My Cloud DL4100.

Descubierto por el investigador de seguridad de GulfTech James Bercegay, los fallos de seguridad podrían aprovecharse para lograr la ejecución remota de código raíz en las unidades de almacenamiento personal en la nube WD My Cloud (el dispositivo es actualmente el NAS más vendido (almacenamiento conectado a la red) en Amazon).

Uno de los problemas de seguridad más importantes que el investigador encontró fue una vulnerabilidad de carga de archivos sin restricciones creada por el "mal uso y la incomprensión de la función PHP gethostbyaddr () ", dice el investigador.

El código vulnerable en dicho archivo permite a un atacante definir un servidor de autenticación remoto, que podría ser un servidor controlado por un atacante. El resultado debería fallar si se define un host no válido, pero una serie de errores hace que se omitan las comprobaciones, lo que finalmente permite que un atacante abuse del problema "para cargar cualquier archivo en el servidor que desee".

Al analizar los binarios de CGI en el servidor web, el investigador de seguridad descubrió un código donde la funcionalidad de inicio de sesión buscaría específicamente un usuario administrador llamado " mydlinkBRionyg " y aceptaría la contraseña " abc12345cba" .

Luego, el investigador descubrió que el backdoor podría convertirse en un shell raíz que permitiría a un atacante ejecutar cualquier comando como root y obtener el control del dispositivo afectado. Dañar un dispositivo vulnerable sería extremadamente fácil y no requeriría autenticación.

"La trivialidad de explotar este problema lo hace muy peligroso e incluso desprendible. No solo eso, sino que los usuarios bloqueados en una LAN tampoco están seguros. Un atacante podría, literalmente, hacerse cargo de su WDMyCloud simplemente visitando un sitio web donde una etiqueta iframe o img incrustada realiza una solicitud al dispositivo vulnerable utilizando uno de los muchos nombres de host predecibles para WDMyCloud, como "wdmycloud" y "wdmycloudmirror", etc. . ", Explica Bercegay.

Además de las dos vulnerabilidades críticas, el investigador de seguridad descubrió una serie de otros problemas peligrosos en el firmware de WDMyCloud. Sin embargo, estos errores no se consideran críticos, especialmente porque algunos de ellos requieren la autenticación para ser explotados.

Se descubrió que la interfaz web de WDMyCloud carece de una protección eficaz contra falsificaciones en el sitio cruzado y que la explotación del problema es trivial, afirma el investigador. WDMyCloud también está plagado de una serie de problemas de inyección de comandos. Un atacante puede abusar de la funcionalidad de preferencias de idioma para causar la denegación de servicio a la interfaz web y puede volcar una lista de todos los usuarios, incluida la información detallada del usuario.

El investigador también descubrió que la misma cuenta backdoor de mydlinkBRionyg se encontró en el dispositivo D-Link DNS-320L ShareCenter NAS hace un tiempo, supuestamente porque ambos dispositivos compartían un código de firmware común. Sin embargo, el problema fue abordado en D-Link DNS-320L con firmware versión 1.0.6, lanzado en julio de 2014.

"Es interesante pensar cómo antes de que D-Link actualizara su software, dos de las familias de dispositivos NAS más populares del mundo, vendidas por dos de las compañías de tecnología más populares del mundo, eran vulnerables al mismo tiempo, al mismo puerta trasera por un tiempo. El período de tiempo en el que ambos dispositivos eran vulnerables al mismo tiempo en la naturaleza fue aproximadamente de principios de 2014 a finales de 2014, en base a la comparación de fechas de notas de la versión de firmware ".

El investigador informó todas estas vulnerabilidades al proveedor en junio de 2017. El lanzamiento del firmware 2.30.174 debería abordar todos estos problemas.