Уже год, как в домашних сетевых хранилищах My Cloud от WD зияет дыра

Комикс xkcd

В популярных домашних сетевых хранилищах My Cloud от компании Western Digital обнаружена уязвимость (CVE-2018-17153), она позволяет атакующему обойти механизм аутентификации и создать административную сессию, привязанную к его IP-адресу.

UPD Опрос показывает, что почти каждый четвертый читатель Хабра находится буквально в шаговой доступности от уязвимого устройства.

Ремко Вермелен, исследователь в области информационной безопасности, обнародовал все детали уязвимости в популярных устройствах Western Digital My Cloud. На этот шаг эксперт пошел тогда, когда компания после нескольких его обращений не устранила брешь и 15 месяцев спустя.

Вермелен проинформировал производителя о проблеме еще в апреле 2017 года, но компания какой-то момент по неизвестной причине в прервала контакты с исследователем. Обычно «белые» хакеры дают компаниям 90 дней на закрытие обнаруженной уязвимости, однако в нашей истории ожидание явно подзатянулось.

260 days ago I responsibly disclosed a privilege escalation in the WD MyCloud. Unfortunately @WDCreators doesn’t take security very seriously. After the recent public disclosure of Gulftech I decided to disclose my finding. @TheHackersNews #MyCloud #FullDisclosure pic.twitter.com/aEerGZpybU

— Remco Vermeulen (@RemcoVermeulen) January 10, 2018

Для входа в web-интерфейс устройства достаточно было отправить запрос к скрипту /cgi-bin/network_mgr.cgi, предварительно установив Cookie «username=admin», чтобы система предоставила административный доступ в обход запроса пароля. Следующим шагом требуется выполнить POST-запрос «cmd=cgi_get_ipv6&flag=1», что приведет к генерации сессионного ключа и обеспечит продолжение сеанса с возможностью обращения к другим скриптам с правами администратора. Успешная атака дает полный контроль над настройками устройства, а также возможность читать, записывать и удалять любые данные, хранимые на устройстве.

I recorded a poc showing how a user’s browser can be abused to attack the #MyCloud that is only accessible on the local network. It chains the privilege escalation with a post auth command injection to create a reverse shell. pic.twitter.com/eTRtlIlVRN

— Remco Vermeulen (@RemcoVermeulen) September 18, 2018

Эксперт пишет, что проблема была найдена им в ходе реверс-инжиниринга бинарных файлов CGI. Он воспроизвел уязвимость на модели My Cloud WDBCTL0020HWT с прошивкой версии 2.30.172, но предполагает, что уязвимость не ограничена только данной моделью, так как все продукты My Cloud, похоже, используют одно и то же уязвимое ПО.

Пользователям настоятельно рекомендуется ограничить доступ к web-интерфейсу MyCloud списком доверенных адресов, а также деактивировать функцию доступа из публичных сетей (Settings->General->Cloud Access). «Из коробки» режим Dashboard Cloud Access отключен, но атака возможна и из локальной сети.

Кстати, на Хабре есть обзор My Cloud 2 tb.