Bugs en backdoor in WD NAS-drives

Verschillende modellen van Western Digitals My Cloud-apparaten bevatten kwetsbaarheden, die toegang voor onbevoegden mogelijk maken. Bestandsupload, uitvoering van kwaadaardige code, en remote inloggen zijn mogelijk. De leverancier is een half jaar geleden al ingelicht.

Jasper BakkerredacteurMeer van deze auteur

Western Digital NAS — © Western Digital

Western Digital

Security-onderzoeker James Bercegay van GulfTech Research and Development heeft Western Digital op 19 juni geïnformeerd over de door hem gevonden beveiligingsgaten. Drie dagen later heeft de ontdekker bevestiging gekregen dat zijn melding in goede orde is ontvangen, meldt ITwire. De leverancier heeft hem daarna gevraagd 90 dagen lang te wachten met publieke onthulling van de kwetsbaarheden.

Ingebakken admin-account

WD heeft in november stilletjes fixes uitgebracht voor zijn onveilige NAS-modellen. Halverwege december bleek echter dat één van de bugs door een ander was ontdekt en geopenbaard. Vervolgens heeft Bercegay besloten zijn bevindingen gedetailleerd te openbaren, wat hij vorige week heeft gedaan. Onder de diverse serieuze security-issues die hij heeft ontdekt en gemeld, bevindt zich ook een ingebakken admin-account.

Deze ingebakken (hardcoded) log-in valt niet te wijzigen qua gebruikersnaam en wachtwoord. Bovendien is laatstgenoemde makkelijk te raden of te kraken, zoals vele berucht-slechte wachtwoorden. Met deze inloggegevens kunnen onbevoegden beheerderstoegang krijgen tot de kwetsbare My Cloud-apparaten.

Metasploit-module

Hackbare WD NAS-modellen zijn: MyCloud, MyCloudMirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 en My Cloud DL4100. De MyCloud 04.X-serie en MyCloud-apparaten met firmware 2.30.174 zijn niet vatbaar. De kwetsbaarheden zitten in de firmware tot en met versie 2.30.165.

De nu geopenbaarde reeks beveiligingsgaten is al toegevoegd als module aan securitytool Metasploit, waardoor misbruik nog gemakkelijker is geworden. Beheerders kunnen deze tool echter ook gebruiken om hun ICT-omgeving te scannen op kwetsbare WD NAS-apparaten. Vervolgens kunnen zij dan fixes installeren of de opslagapparaten offline halen en eventueel vervangen.

Handmatig downloaden

De in de loop van november uitgebrachte fixes zijn namelijk niet per definitie geïnstalleerd. Gebruikers en beheerders moeten deze firmware-updates handmatig downloaden vanaf de website van Western Digital. Dit kan ook via het beheerdashboard van de NAS-apparaten zelf worden gedaan.