NAS Western Digital My Cloud accessibili senza conoscere le credenziali

Un ricercatore riporta in auge un problema che era stato segnalato a Western Digital circa un anno e mezzo fa ma che ancora non era stato risolto. C'è il rischio che il contenuto del NAS possa diventare direttamente accessibile anche da remoto, senza conoscere le credenziali amministrative. Come scaricare e installare le patch ufficiali.
Michele Nasi
Pubblicato il 24 set 2018
NAS Western Digital My Cloud accessibili senza conoscere le credenziali

Alcuni ricercatori hanno segnalato la presenza di una pericolosa vulnerabilità nei NAS Western Digital My Cloud: un utente non autorizzato può accedere al pannello di amministrazione del dispositivo di storage e quindi anche al suo contenuto senza disporre di alcun tipo di credenziale.

Il bug, al quale un paio di giorni fa è stato assegnato il codice identificativo CVE-2018-17153, è rimasto irrisolto per circa un anno e mezzo nonostante fosse già stato segnalato in passato all’azienda californiana.

Remco Vermeulen, il ricercatore che ha acceso un faro sulla problematica, spiega che la vulnerabilità era stata correttamente e privatamente segnalata ai tecnici di Western Digital il 10 aprile 2017: da allora, però, non è seguita la pubblicazione di alcuna patch risolutiva.


Vermeulen mostra per filo e per segno le modalità di aggressione e mette in evidenza come qualunque utente possa accedere al NAS My Cloud senza averne titolo semplicemente sfruttando un modulo CGI e un apposito comando chiamato cgi_get_ipv6.
Per far leva sulla vulnerabilità in questione è infatti sufficiente inviare un cookie contenente l’informazione username=admin all’interno di una richiesta HTTP.

Il ricercatore spiega che di base i NAS My Cloud sono aggredibili da un contesto locale ma l’attacco può avvenire anche via web, semplicemente visitando una pagina contenente codice malevolo. Un attacco CSRF (cross-site scripting) consente di prendere di mira quei NAS che non sono direttamente accessibili via Internet e che quindi non espongono direttamente le loro porte in rete.

Vermeulen non è l’unico ad aver rinvenuto il pericoloso bug: altri ricercatori hanno parlato del problema di sicurezza all’ultima conferenza Def Con.

Stando agli ultimi dati, quasi 2.000 NAS My Cloud risultano pubblicamente accessibili, la maggior parte dei quali in Europa.
Da parte sua, Western Digital ha dapprima confermato di aver preso in carico il problema procedendo quindi quest’oggi al rilascio degli aggiornamenti correttivi.

Tutti coloro che possiedono e utilizzano un NAS Western Digital My Cloud possono scaricare e installare le patch appena distribuite facendo riferimento ai link seguenti:

My Cloud FW 2.30.196
My Cloud Mirror Gen2 FW 2.30.196
My Cloud EX2 Ultra FW 2.30.196
My Cloud EX2100 FW 2.30.196
My Cloud EX4100 FW 2.30.196
My Cloud DL2100 FW 2.30.196
My Cloud DL4100 FW 2.30.196
My Cloud PR2100 FW 2.30.196
My Cloud PR4100 FW 2.30.196

Le istruzioni per l’installazione degli aggiornamenti sono pubblicate in questa pagina di supporto.

Ti consigliamo anche

QNAP presenta il primo NAS Thunderbolt 4 al mondo: TVS-hx74T
Business

QNAP presenta il primo NAS Thunderbolt 4 al mondo: TVS-hx74T
Corsi QNAP Italia, scoprite le opportunità di crescita nell'ambito dello storage sicuro dei dati
Business

Corsi QNAP Italia, scoprite le opportunità di crescita nell'ambito dello storage sicuro dei dati
NAS AI: QNAP TS-AI642 è l'ideale per riconoscimento delle immagini e applicazioni di sorveglianza
NAS

NAS AI: QNAP TS-AI642 è l'ideale per riconoscimento delle immagini e applicazioni di sorveglianza
Synology presenta DiskStation DS224+ e DS124, due NAS compatti per una produttività migliorata
NAS

Synology presenta DiskStation DS224+ e DS124, due NAS compatti per una produttività migliorata
Link copiato negli appunti