Western Digital, backdoor sui NAS My Cloud

I NAS di Western Digital contengono gravi falle di sicurezza, e in un caso è stata persino individuata una backdoor potenzialmente sfruttabile per creare worm o altre cyber-minacce estremamente pericolose

Roma – Il ricercatore di sicurezza James Bercegay ha scovato alcune gravi vulnerabilità di sicurezza nei driver Western Digital della linea My Cloud, una serie di dispositivi pensati per essere usati come unità NAS per lo storage locale ma accessibili anche da remoto. E qui sta (soprattutto) il problema, visto che l’accesso da Internet alle unità NAS è risultato essere fin troppo facile.

Tra i problemi individuati da Bercegay , infatti, c’è un account segreto che potrebbe permettere a chiunque di fare il login sul NAS usando il nome utente “mydlinkBRionyg” e la password “abc12345cba”. Oltre che da remoto, l’accesso può essere forzato anche su reti LAN locali con elementi HTML (iframe) appositamente formattati.

Oltre alla backdoor segreta , il ricercatore ha poi scovato un file PHP all’interno del Web Server dei NAS che permette di salvare un qualsiasi file sul dispositivi, mentre un ulteriore baco CSRF (Cross-Site Request Forgery) può essere sfruttato per eseguire comandi malevoli oppure per resettare la lingua impostata sull’interfaccia di controllo.

La lista dei dispositivi risultati “positivi” alle vulnerabilità è piuttosto lunga e include i seguenti prodotti: MyCloudMirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100, My Cloud DL4100.

L’esistenza delle falle è stata comunicata a WD lo scorso giugno, e la corporation mette ora a disposizione un firmware aggiornato (dalla versione 2.30.172 in poi) privo di vulnerabilità note. Come nota a margine ma di sicuro interessante, Bercegay rivela che la stessa backdoor dei dispositivi WD era presente, anni addietro, anche nel firmware di D-Link DNS-320L Share Center. Un risultato, forse, della condivisione di codice tra le due aziende scritto da un fornitore esterno. D-Link aveva in ogni caso già rimosso la backdoor già quattro anni fa.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Samarcanda scrive:
    Come ottenere bitcoin gratis!
    Per chi è interessato a guadagnare bitcoin gratis consiglio l'utilizzo di questo sito:https://tinyurl.com/ottienibitcoinoraSi può guadagnare fino a 0.02749128 BTC (200!) ogni ora. Inoltre ai primi tre che si registrano con il link qui sopra manderò un bonus di 0.001 bitcoin. Il sito è molto affidabile, uno dei più famosi nel suo settore.Inoltre consiglio anche questo sito, simile al precedente ma con il quale è possibile ottenere dogecoins, una criptovaluta simile ai bitcoin che sta avendo molto sucXXXXX:https://tinyurl.com/ottienidogecoinoraPer entrambi i siti è sufficiente registrarsi e cliccare sul pulsante "ROLL!" ogni ora per ottenere i bitcoin!
  • Barista scrive:
    il solito
    Ogni volta le parole del suo inventore cadono addosso a tutti come macigni: «Perché Bitcoin ha fallito? Perché la sua comunità ha fallito»eh si nessun algoritmo puo far fronte alle debolezze umane e' per questo che esistono le prigioni, le istituzioni di controllo ecc ecc
  • Tamerlano scrive:
    Bitcoin
    Il Bitcoin sta mostrando i suoi limiti tecnici che necessitano di un'urgente revisione:- max 3-4 transazioni al secondo (VISA ne gestisce 50000 al sec)- costo della transazione di 15-20 dollariE' evidente che in queste condizioni operative il Bitcoin cessa di essere una moneta da usare per scambi e diventa un'entità più simile ad un asset come l'oro.Ormai costa meno farsi spedire un lingottino d'oro con un corriere piuttosto che acquistare l'equivalente valore in bitcoins visti i costi enormi di transazione (transaction fee).O il Bitcoin si rinnova o è destinato a crollare a beneficio dei suoi alter ego.
Chiudi i commenti