Il ricercatore di sicurezza James Bercegay ha scovato alcune gravi vulnerabilità di sicurezza nei driver Western Digital della linea My Cloud, una serie di dispositivi pensati per essere usati come unità NAS per lo storage locale ma accessibili anche da remoto. E qui sta (soprattutto) il problema, visto che l’accesso da Internet alle unità NAS è risultato essere fin troppo facile.
Tra i problemi individuati da Bercegay , infatti, c’è un account segreto che potrebbe permettere a chiunque di fare il login sul NAS usando il nome utente “mydlinkBRionyg” e la password “abc12345cba”. Oltre che da remoto, l’accesso può essere forzato anche su reti LAN locali con elementi HTML (iframe) appositamente formattati.
Oltre alla backdoor segreta , il ricercatore ha poi scovato un file PHP all’interno del Web Server dei NAS che permette di salvare un qualsiasi file sul dispositivi, mentre un ulteriore baco CSRF (Cross-Site Request Forgery) può essere sfruttato per eseguire comandi malevoli oppure per resettare la lingua impostata sull’interfaccia di controllo.
La lista dei dispositivi risultati “positivi” alle vulnerabilità è piuttosto lunga e include i seguenti prodotti: MyCloudMirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100, My Cloud DL4100.
L’esistenza delle falle è stata comunicata a WD lo scorso giugno, e la corporation mette ora a disposizione un firmware aggiornato (dalla versione 2.30.172 in poi) privo di vulnerabilità note. Come nota a margine ma di sicuro interessante, Bercegay rivela che la stessa backdoor dei dispositivi WD era presente, anni addietro, anche nel firmware di D-Link DNS-320L Share Center. Un risultato, forse, della condivisione di codice tra le due aziende scritto da un fornitore esterno. D-Link aveva in ogni caso già rimosso la backdoor già quattro anni fa.
Alfonso Maruccia