Бэкдор в WD My Cloud, доступный каждому

https://www.techspot.com/news/72612-western-digital-cloud-drives-have-built-backdoor.html
  • Перевод
image

На днях была опубликована уязвимость в NAS устройствах от Western Digital. А точнее натуральный встроенный бэкдором, для которого на текущий момент все еще нет официальной заплатки.

Бэкдор позволяет получить root доступ к устройствам просто воспользовавшись железно прошитым логином и паролем для многих NAS решений.

Подробнее под катом.

James Bercegay обнаружил уязвимость в середине 2017 года.Но спустя 6 месяцев, которые были предоставлены WD на устранение проблемы, официальный патч так и не был выпущен.

Детали об уязвимости и пример эксплоита был опубликованы на GulfTech 5 января 2018.

Дополнительной неприятностью бэкдора является то, что логин и пароль захардкожены и не могут быть просто так изменены — любой может воспользоваться админ-логином «mydlinkBRionyg» и паролем «abc12345cba» чтобы зайти в My Cloud и получить доступ к shell, что развязывает руки для уймы вариантов несанкционированного использования. Ситуация должна чувствительно ударить по репутации компании — недоглядеть подобные недочеты в продакшене сетевых NAS решений, о безопасности которых WD много пишет (в том числе и на хабре) — это очень непрофессионально.

Если вы считаете, что ваш домашний NAS не висит открытым доступом с инета, а просто включен у вас дома в локальной сети, он все равно может быть атакован через другое пользовательское устройство (компьютер, планшет, телефон). Пользователь со своего устройства может посетить веб-сайт, на котором злоумышленник повесил специально сгенеренный HTML image или IFrame, через который он может попытаться выполнить запрос устройствам в вашей локальной сети, используя предсказуемые названия хостов и получить несанкционированный доступ даже не пытаясь атаковать вас активным сканированием.

Модели, которые подвержены уязвимости:


My Cloud Gen 2
My Cloud EX2
My Cloud EX2 Ultra
My Cloud PR2100
My Cloud PR4100
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

Metasploit публично доступен — любой может его скачать и использовать для атаки NAS устройств. Да, это тот самый момент, когда скрипткидди опасны для каждого владельца вышеуказанных моделей.

Пока производитель не выпустит патч и не предложит исправление уязвимости, рекомендуется отключить (или отключать на время неиспользования) устройства в ваше локалке и блокировать им доступ к интернет.

Update 1:


По слухам, ноябрьский патч решает проблему, спасибо FenrirR
Not Vulnerable:
MyCloud 04.X Series с MyCloud 2.30.174

Но WD не особо распространялся о существовании проблемы, поэтому многие пользователи так и не обновляли прошивку. Для актуального теста, следует не просто попробовать ввести логин и пароль, а именно воспользоваться Metasploit-ом.

Update 2:


В официальном блоге WD буквально на днях (9 января) опубликовали статью, в которой подтверждают закрытие этой уязвимости апдейтом v2.30.172.

Вдобавок сообщается, что некоторые модели с прошивкой версий 2.xx, кроме My Cloud Home, могут содержать уязвимость в "Dashboard Cloud Access" и port forwarding, над чем работают сотрудники WD, и патч выйдет в самое ближайшее время. До этого момента рекомендуют ограничить доступ в локалке проверенным пользователям и отключить port forwarding.

Модели, которые поддерживают Dashboard Cloud Access:
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud EX2 Ultra
My Cloud DL2100
My Cloud DL4100
My Cloud PR2100
My Cloud PR4100
My Cloud Mirror
My Cloud Mirror Gen 2

А модели с My Cloud Home не содержат подобные уязвимости, так как архитектурно были разработаны с нуля, без legacy проблем.
Поделиться публикацией
Похожие публикации
Ой, у вас баннер убежал!

Ну. И что?
Реклама
Комментарии 82
  • 0
    Всё больше и больше «подарков» нам новый год.
    Этот год можно смело назвать — год бекдоров и «дырок».
  • +7
    Зато мои данные не в облаке у нехороших корпораций, а на своём личном устройстве дома.

    /irony
    • 0
      Честно говоря, стандартная система на WD весьма отвратительна. Ее очень желательно заменить на чистый debian.
      А вообще конечно дешевле и эффективнее собрать себе mini-itx сервер, проверено как раз после wd mycloud.
      • +1
        > собрать себе mini-itx сервер

        На Meltdown и Spectre?
        • 0
          На чем угодно так-то.
          Это же NAS в локальной сети!
          В моем случае — нет.
          • 0
            Meltdown закрыли софтом, Spectre есть у всех на рынке. В чем проблема?
            • 0
              Все же для реализации Meltdown и Spectre на машине должен выполняться зловредный код, что, для узкоспециализированной железки в виде NAS, еще надо реализовать. Это не частая функция, обычно ряд заранее определенных программ/сервисов: файловое хранилище, торренты, DLNA,…
        • 0

          Причем самые пикантные. Надежно же, дома, а не у корпораций.

        • +3
          Судя по всему, это d-link c шильдиком WD.
          • 0
            Именно они и есть.
            А про дыру в «длинках» даже на хабре писали уже.
            • 0
              А кто-нибудь в курсе, нафига wd-шникам понадобилось покупать длинковское ПО?
              • 0
                OEM железо (если не путаю).
          • 0
            Для меня WD умерла ещё когда они выпустили диски в штампованных корпусах, загерметизированные плёночкой по периметру. Не терплю халтуры.
            • +2
              Вы меня прямо таки заинтриговали, можно подробнее? Модели дисков, когда это было и тд.
              • 0
                Где-то в конце 90х-начале 2000х, если не ошибаюсь. Конструкция была реально идиотской — герметизирующая ленточка из клейкой алюминиевой фольги по периметру всей банки. Раз-два вставил/вытащил HDD из тесной корзины и ленточка рвалась и отрывалась, а банка начинала общаться с атмосферой. После чего гарантийщики с чистой совестью отказывали в обмене винта на исправный.
                • 0
                  банка всегда сообщается с атмосферой. Кроме супер современных винтов которые наполнены гелием, обычно это 8+Tb
                  • 0
                    Имелось в виду то, что она сообщалась с атмосферой минуя фильтрматериал и лабиринт, что позволяло пыли попадать внутрь. Но должен сказать, что мне из многих таких винтов ни на одном ленточку порвать не удалось, хотя и эксплуатировались они как дискетки. Возможно, мои модели были выпущены после работы над ошибками.
                    • 0
                      А есть фото? Я только на сигейтах такую помню. Но и там чтобы ее порвать надо было постараться. Если приходилось часто вынимать — просто покупался недорогой бокс для переноски, сам диск при извлечении не страдал.
                      Картинка Сигейт
                      image
                      • 0

                        Да это была реальная такая подлянка.
                        Корпуса тогда покупали самые дешевые (времена то были трудные, денег больно не было).
                        Чувак знакомый так убил свой гиговый винт, он стоил по тем временам для нас огромных денег.
                        Я потом обматывал винт по периметру изолентой или скотчем.

                        • 0
                          Например:
                          Caviar 2850
                          image

                          Caviar 280 (у меня такого не было, но тут ленточка хорошо видна)
                          image
              • +7
                После того как со мной через видеоняню поговорил какой-то мужик на английском, я в целом не доверяю ни каким «недо-пк» из СОХО сегмента.
                • +3
                  А можно раскрыть тему? Что за видеоняня, как подключена, что мужик сказал ^-^
                  Вы поняли, как он на вашу видеоняню вышел?
                  • +1
                    Сбрутили камеру, возможно.
                    • +2
                      Видеоняня по сути обычная айпи камера с поворотом, ночным режимом, микрофоном и динамиком, моя была фирмы vstarcam, но судя по новостям в интернете — они все одинаковые. Большинство таких камер и ВН — используют «облака», на самом деле просто сливают все на сервера в Китае, а с девайсов уже смотришь стрим оттуда. Конечно они обещают что там кругом пароли, все секретно и безопасно, я все стандартные учетки и пароли поменял сразу, айдишник камеры не светил и не публиковал ни где. В один из дней камера перестала вращаться при включении, она так делает для самодиагностики, и она у меня на отдельном выключателе была. Дети подросли и тыкали выключатель регулярно, а я старался держать его выключенным постоянно, т.к. необходимость мониторинга отпала. Ну в общем я знал момент когда она перестала штатно проводит самодиагностику, я подумал что сломалась и выключал всегда сразу за детьми, примерно через неделю другую после «поломки» мне было лень ее выключать, какое-то время она была включена, смотрела в потолок и я особо не парился. И тут со мной начали разговаривать на английском с акцентом. Качество динамика там очень плохое — я ни чего не понял, вырубил и вытащил бп. Кстати с момента поломки камера перестала быть доступна через фирменное приложение, я не мог ни смотреть с нее ни управлять, думал что сгорела. Видимо же ее перепрошили. Ну и если что я ни какие порты на роутере не открывал. Т.е. камера снаружи совершенно не видна. Вектор взлома скорее всего через облачный сервис, путем перебора айдишников для поиска живых камер. А далее какой-то бекдор по типу описанного здесь.
                • 0
                  Я когда купил где то пол года-год назад свой My Cloud EX2 Ultra и начал использовать у меня сложилось впечатление, что я купил что-то не очень хорошее (шум, температура, юзабилити и т.д), похоже предчувствие оправдалось сполна. 6 месяцев не закрывать такую уязвимость, похоже пришло время задуматься о продаже своего NAS и покупки другого.
                  • 0
                    А перепрошить на какой-нить freenas нельзя?
                    • 0
                      Честно сказать я рассчитываю на решение из коробки, как-то совсем не хочется тратить время на все это, а хуже всего, что я не знаю куда положить около 6 терабайт на время всех таких экспериментов и даже при переезде на новый NAS это все надо куда-то бэкапнуть чтобы не потерять в случае не штатной ситуации или кривых рук и на все это надо много времени :(
                      • 0
                        Винт на 8Тб. За одно и бекап будет.
                        • 0
                          А диски нельзя просто вынуть на время экспериментов?
                          • 0
                            Система на этих дисках (диске?) и стоит.
                            • 0
                              У меня самая первая версия WD MyCloud на 2ТБ, на которую был установлен чистый дебиан. Раздел с данными отделен от раздела с системой, поэтому можно спокойно манипулировать с системой.
                              Если интересно этим звонятся, то рекомендую прочитать вот эту тему на форуме WD. Там же автор выложил готовые образы для некоторых версий устройств и даже автоматический скрипт для установки. Рекомендую снять образ перед манипуляциями, подключив диск к другому компьютеру. Хранить резервную копию можно прям на разделе с данными.
                              Из минусов можно отметить то, что почему-то не все пакеты обновляются, а так же снижение скорости чтения-записи при работе по сети (smb протокол) до 50Мб на чтение и 30 на запись, но при этом стриминг видео работает намного лучше и при перемотке нет зависаний на 30-60 секунд, а также сорванные клипсы при разборке устройства.

                              Если буду менять себе накопитель, то буду собирать его на чем-то подобном с небольшим ссд для максимальной энергоэффективности. Сейчас меня останавливает отсутствие нормальных корпусов под это дело, а ставить в комнате еще одну здоровенную коробку я не хочу.
                              • 0
                                Он-то конечно отделен, но почти все гайды по установке чистой системы включают в себя создание новой файловой системы и raid.
                                Поэтому… Я бы не стал.
                                • 0
                                  Если хочется один накопитель + ssd и устраивают диски 2.5" (сейчас бывают до 5ТБ) — можно взять что-нибудь типа asus vm45. Либо туда можно вместо двух 2.5" поставить один диск 3.5". Достаточно компактен и удобен. Производительности местного celeron'а хватает на транскодинг 1080p через plex.
                                  В моём были в комплекте 4GB DDR4 RAM и 120GB SSD. Корзина на два диска в комплекте. Брал в Ситилинке.
                                • 0
                                  Вообще-то не должна. Там же диски могут меняться, в случае выхода из строя, а система должна оставаться. Но у меня нет NAS, все присматриваюсь, да как-то обхожусь пока что просто еще одним винтом
                            • 0
                              Можно.
                              В общем-то многие так и делают, т.к. вообще говоря среднестатические отзывы на WD Cloud в плане софта ниже среднего уровня.
                              Осталось правда понять закроет ли перепрошивка эту дыру.

                              А так ценник-то решал. За цену популяных «майклоудов» можно было примерно такой же hdd купить, nas считай бесплатным довеском шел.
                              • +1
                                Да, на mycloud ставится чистый debian.
                            • 0
                              Видел сообщения, что патч вышел еще в ноябре, уязвимость не воспроизводится.
                            • 0

                              Срамота!

                              • 0
                                Зачем, зачем вендоры упрямо и настойчиво продолжают так делать??
                                • 0
                                  Ответ простой: потому всё равно покупают.
                                  Сейчас ситуация такова, что все крупные компании по сути дискредитированы дважды — первый раз, когда уязвимость находится, а второй — когда она оперативно не закрывается (мне это само по себе удивительно до сих пор), существуя очень-очень долгое время. И выход получается один: покупать простенький ПК и разбираться во всем самому. Но это хорошо, если надо организовать видеонаблюдение, поднять FTP-сервер или своё облако. А что делать с умной техникой? А с автомобилями? Куда ни плюсь — везде вот такие «косяки» вылазят периодически. Можно было бы надеяться на опасность репутационных потерь, но это не работает. Выход один — тотально отказываться от устройств с таким вот вот с этим. Но для этого нужно иметь ясное понимание и стойкую гражданскую позицию. А с этим в мире тоже не всё хорошо.
                                  • +1
                                    Ещё хуже, когда в изделия намеренно внедряется фича, совершенно бесполезная для пользователей, но при этом активно эксплуатируемая злоумышленниками.
                                    Вот например Intel ME. Кто ей вообще пользуется? При этом она глючная, дырявая и удорожающая процессоры. Складывается ощущение, что Intel намеренно поддерживает троянописателей, а то же человечеству скучно будет, если адварь вдруг переведётся.
                                    При этом проголосовать деньгами, просто перестав покупать такие процессоры, невозможно, т.к. подобная технология поддержки адвари под разными названиями присутствует во всех выпускаемых десктопных процессорах.
                                    • 0
                                      Согласен, есть ряд продуктов, от которых отказаться невозможно ввиду отсутствия альтернатив.
                                      • 0
                                        Не путайте потребительское с копоративным.
                                        Уже не раз обсуждалось, что ME вполне себе используется и достаточно полезна для больших парков. Проблеме не в интеле. Производители материнских плат/пк/ноутбуков могут все закрыть или не устанавливать в потребительские модели энтерпрайс решения. Админы на производстве должны закрывать если не используют.
                                        • 0
                                          В чем именно польза ME за пределом Q чипсетов с AMT?
                                          • 0
                                            По большому счету, его и не должно быть за предела бизнес и серверного сегментов. И у intel если я не ошибаюсь так есть. А вот производители почему ставят бизнес чипсеты?
                                            • 0
                                              ME уже давно во всех десктопных и ноутбучных чипсетах Intel, хотя не заметно чтобы конечным пользователям была от этого хоть какая-то польза.
                                              • 0
                                                Для потребительского сегмента, только anti-theft приходит на ум.
                                                Кстати, недавно смотрел ноутбуки, HP и Dell, у Dell все что связано с AMT и vPro сейчас нужно заказывать дополнительно, у HP тоже если память не изменяет есть возможность выбора.
                                          • 0
                                            В корпоративных продуктах тоже встречается: Backdoor в HP MSA P2000 G3
                                            Причем хотел обновить прошивку, но оказалось что обновление возможно, только если куплена поддержка на эту железку.
                                        • 0
                                          А что делать с умной техникой? А с автомобилями?

                                          У меня нет ни того, ни другого. Мультиварка Редмонд с управлением через интернет? Неее, я, пожалуй, приду домой и сам её запущу (или поставлю таймер перед уходом на работу).
                                          Автомобиль? В машине 2005 года вряд ли есть что-то похожее на софт Теслы.
                                          • 0
                                            У вас нету, а у других есть. Тем более, захотите покупать новую машину, а там и выбора не будет — они настолько напиханы разной умной электроникой.
                                            • 0
                                              Только б/у, только хардкор :)
                                      • 0
                                        Интересно, это баг, или фича?..
                                        • +1
                                          сначала была фича, а как мы узнали — стал баг…
                                          • +6
                                            Пасхалка
                                          • +1
                                            Стоит добавить в список ещё Mirror и Mirror Gen2, т.к. прошивки у них теж самые (И аппаратно это почти полная копия Ex2 / Ex2 Ultra)

                                            Одно хорошо — Marvell CPU (SoC), что установлен в большинстве MyCloud'ов поддерживается ядром Linux «Из коробки», что позволяет спокойно собрать своё ядро со всеми патчами (И закрытыми дырками), накатить debian+omv и получить вполне себе юзабельный и «Свежий» NAS.
                                            • 0
                                              Так есть список IP с открытыми mycloud или нет еще?
                                              Куда смотреть то? :)
                                              • +1
                                                Последнее обновление на моем WD — было в ноябре, подтверждаю, уязвимость не воспроизводится, скорее всего тогда и закрыли ее
                                                • 0
                                                  Последнее обновление 24.12.17 версия 2.30.174. (MyCloud EX2Ultra) Уязвимость не воспроизводится.
                                                  • +1
                                                    Вы просто пробовали зайти логином/паролем или воспользоваться выложенным Metaexploit?

                                                    В комментариях в оригинальной статье эта тема до конца не была раскрыта, а среди моих знакомых ни у кого нет My Cloud чтобы убедиться…
                                                    Но говорят, что ноябрьский патч как минимум чинит уязвимость в SMB протоколе.
                                                    • 0
                                                      Пробовал только логин и пароль.
                                                      Кроме того, в статье по ссылке указано:
                                                      --[ 08 — Solution

                                                      Upgrade firmware to version 2.30.174
                                                      See the official vendor website for further details. Note that we have not
                                                      tested these resolutions, and some users report that some of
                                                      the vulnerabilities still remain.

                                                      и:
                                                      Not Vulnerable
                                                      MyCloud 04.X Series
                                                      MyCloud 2.30.174


                                                      Так что да, нужно тестить всё. Но времени как всегда нету.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                    • 0
                                                      Зайдя шеллом на NAS, вы с него можете отправить что-либо наружу.
                                                      • 0
                                                        Если скрипт получит доступ к насу, разве он сможет дать доступ к содержимому извне?


                                                        100500 способов. IRC бот, слушающий команды на известном ему канале. Реверсный ssh туннель. Можно в dropbox выгрузить, или в другое облако. Можно зашифровать и потребовать выкуп.

                                                        НАС не должен торчать в интернет.


                                                        NAS — от слова network. Это его главное свойство.
                                                        • 0
                                                          Network бывает и local.
                                                          У меня самосборный NAS ходит только на *.ubuntu.* за обновлениями и торренты раздает, больше ему в Network делать нечего. Все доступы к файлам торчат только и исключительно в LAN. SSH и прочие прелести в Интернет пускать зачем?
                                                          • 0
                                                            Network бывает и local.


                                                            Легким движением иногда local становится global.
                                                            Вот, например, вы _точно_ уверены, что в _вашей_ версии торрент-клиента нет возможности скачать _немного_неправильный_ .torrent и выполнить какое-то remote execution? Да, в самосборной машине поймать такое маловероятно. А в прошивке от вендора может быть что угодно, в том числе и тухлое openssl, и немного устаревшее ядро, и бекдоры… И это массовый продукт, под него обязательно будут копать.
                                                            • 0
                                                              Абсолютно. Я не скачиваю торренты, я их раздаю. Свои собственные раздачи.
                                                              По поводу прошивки от вендора на mycloud я уже писал выше — они отвратительны сами по себе.
                                                      • 0
                                                        Мне в прошлом году подарили какой-то My Cloud. Я сразу почуял неладное, так как коробка обещает свое собственное облако дома! Это что, дать доступ из вне к диску на котором будет все, от сериалов до архива фото? А если какая ошибка в прошивке, все сопрут? Решил оставить как внешний диск. Ну правильно сделал чо.
                                                        • 0

                                                          Столько шуму из-за этого доступа, но за что не берусь, везде есть доступ по telnet или ssh с фиксированными паролями. Из того, что вспомнилось: видеорегистраторы Keno и Intervision, веб камеры Falkon eye, какие-то старые роутеры D-Link… Это то, что я сам ковырял и выцеплял эти пароли из прошивки.
                                                          Понятно, что это дыра, но настолько распространённая, что у меня уже не воспринимается как дыра, а воспринимается как возможность всё нахрен снести и поставить своё.

                                                          • 0
                                                            Под каждой новостью про дыру в безопасности обязательно должны быть два комментария.
                                                            1) Ха-ха, а я ни когда им и не доверял!
                                                            2) Ну и ладно, ну и пофигу, кому нужны мои семейные фото!
                                                            • 0
                                                              И к какому варианту вы относите мой комментарий?
                                                          • 0
                                                            Купил я как-то в 2015 году WD MyCloud EX2 и диски WD Red. В первые же пару дней офигел от того, что эта зараза жарила диски при температуре 70-80 градусов! Причем прочитав форумы, понял, что это массовая проблема.
                                                            Еле-еле впарил этот NAS на Avito, купил железку от другого производителя и в результате доволен на 1000% по сравнению с WD MyCloud EX2. По температуре такие же диски работают при комфортных 30-35 градусах.

                                                            К слову сказать, те диски, что изначально я поставил в WD MyCloud EX2 и затем переставил в нормальный NAS — сдохли меньше, чем через год — массово повалились бэды (при этом диски, само собой, никаких нагрузок не испытывали, работали 24/7 без режима сна и прочего). WD по гарантии оба диска поменял. С тех пор, тьфу-тьфу, все работает стабильно. Есть подозрение, что эта «прожарка» в самом начале срока службы сыграла с первыми дисками злую шутку.

                                                            Так что вердикт простой сделал для себя — WD делает классные жесткие диски (самому старому WD Black уже более 10 лет, ни одного бэда и т.д.!) и при этом совершенно не умеет делать любое другое железо (до этого еще у меня бывал плеер WD TV Live, с которым тоже плевался). И после этой статьи только укрепился в этом мнении.
                                                            • 0
                                                              Я, кстати, не очень понимаю, зачем Red серия в домашнем NAS. Крайне редко нужна дома высокая производительность…
                                                              • 0
                                                                Температурный режим другой, что в случае того же My Cloud EX2 Ultra может стать критичным моментом, т.к с охлаждением там беда, мои 2x8Tb сейчас работаю при 50-56 и это еще не лето с 30-ю градусами.
                                                                • +1
                                                                  Прошивка диска адаптирована для работы в массиве (диск отвечает контроллеру вовремя, что не дает необоснованно перейти в аварийный режим).
                                                                  Диск работает в низком температурном режиме (почти как WD Green), при этом разрешена работа в режиме 24/7 (как WD Black) и головки не паркуются часто (WD Green старается припарковаться чем быстрее — тем лучше, по умолчанию, кажется через 8 секунд!)
                                                                  И, к слову, я бы не сказал, что серия Red блещет производительностью как раз (например, RPM 5400) — это скорее к Red Pro относится (RPM 7200). Red обеспечивает надежность при круглосуточной работе.
                                                                  • 0
                                                                    Гарантия больше у RED, с зеркалированием можно три года не думать о том, что диск сломается
                                                                  • 0
                                                                    WD делает очень разные диски. От действительно классных Black до ужасных Green
                                                                  • 0
                                                                    Добавлен апдейт от WD — недавно в блоге опубликована следующая статья:
                                                                    blog.westerndigital.com/western-digital-cloud-update
                                                                    • НЛО прилетело и опубликовало эту надпись здесь

                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                      Самое читаемое