Vulnerabilidades de WD My Cloud: ¿qué hay en riesgo?

5

Recientemente se encontraron alrededor de 70 vulnerabilidades en los dispositivos "My Cloud" de Western Digital. Tengo curiosidad por saber más sobre el alcance de estas vulnerabilidades. Todas las vulnerabilidades han sido listadas por Eploitee.rs aquí .

Allí hablan sobre cómo omitir el inicio de sesión y obtener derechos administrativos para la unidad. Mi pregunta es, ¿puede esto extenderse más allá de la unidad? Si la unidad estaba conectada a computadoras en la red, ¿eso permitiría al intruso acceder a los archivos en una computadora que está conectada a la unidad, o está limitado a los archivos que están en la unidad?

Supongo que la forma en que podría ver a alguien usándolo para obtener acceso a otras computadoras en la red sería cargar algún archivo con un troyano en él para que cuando alguien acceda a la unidad en la red, ese troyano ahora estará visible en esa computadora.

¿Cuál es el alcance de estas vulnerabilidades? ¿Cuáles son las implicaciones de la red si la unidad está comprometida?

    
pregunta Adjit 09.03.2017 - 20:32
fuente

2 respuestas

4

MyCloud es un servicio que se ejecuta en el NAS. Las vulnerabilidades documentadas en el sitio que vincula para permitir tres cosas diferentes:

1) Omita el inicio de sesión y se haga pasar por un administrador de MyCloud

2) Coloque los archivos en cualquier lugar del NAS

3) Ejecutar comandos en el NAS

Estas vulnerabilidades están limitadas al dispositivo NAS en sí, pero como señala, una vez que un atacante obtiene acceso al NAS, puede usarlo como un trampolín en su red doméstica / dispositivos conectados.

Por ejemplo, la capacidad de colocar cualquier archivo que desee en el NAS le permite colocar virus, troyanos y otro malware en su NAS. Una vez que abra los archivos afectados en sus otros dispositivos, podrían infectarse.

Tener acceso al propio NAS le permite a un atacante espiar su tráfico de red no cifrado, a menos que su red esté muy bien protegida contra varias técnicas de suplantación de identidad. Por ejemplo, si está utilizando un programa de correo local para enviar y recibir correo y se comunica con su servidor de correo no cifrado, un atacante puede leer (y cambiar) todo su correo electrónico entrante y saliente.

El NAS comprometido NO le da a un atacante acceso directo inmediato a los datos que se encuentran en dispositivos que simplemente se conectan al NAS a través de un protocolo de intercambio de archivos como SMB, NFS, FTP para usar el almacenamiento de red. Sin embargo, el NAS (lo más probable) tendrá una vista sin filtros de los servicios de red que se ejecutan en los dispositivos en su red doméstica. Si, por ejemplo, está usando Windows y ha habilitado el uso compartido de archivos en todas las computadoras en su red doméstica, este servicio también estará visible para un atacante que se encuentre en el NAS.

El acceso al NAS también le da a un atacante acceso a la base de datos de contraseñas del NAS. Dependiendo de qué tan bien estén protegidas las contraseñas por el software del NAS, esto podría permitir que un atacante las recupere, y como no es exagerado suponer que reutiliza esta contraseña en otro lugar, podría obtener acceso a otros servicios que use.

Por estas razones, nunca ejecutaría una solución en la nube de uno de los proveedores de NAS de nivel de consumidor en mi red doméstica. Si realmente desea hacer eso, al menos debe colocar un firewall entre el NAS y el resto de su red doméstica. Si bien esto no ayudará a que el NAS infecte pasivamente sus otros dispositivos con troyanos, al menos hará que atacar activamente sus otros dispositivos desde el NAS y espiar su tráfico de red desde el NAS, mucho más difícil.

El firewall también se puede usar para denegar cualquier conexión desde el NAS a Internet (excepto las necesarias para compartir archivos), lo que ayudará a evitar que su NAS se coopte como parte de una red de bots.

    
respondido por el Pascal 09.03.2017 - 20:57
fuente
1

Creo que es peor que simplemente apagar las partes de la nube: algunas de las vulnerabilidades (solo configura una cookie para que sea clasificada como iniciada, confíe en los datos proporcionados para cargar una actualización de firmware manual) Creo que me refiero a visitar un sitio web malicioso. podría solicitar a MyCloud que cargue e instale una actualización de la elección del atacante. Podría ser que el servidor de seguridad detendría esto, pero dado que en última instancia es una máquina dentro de la LAN que realiza la solicitud a MyCloud (la víctima accede al sitio web X, X dice que algunos recursos que necesita están en MyCloud (solicitados de tal manera que se cargan) activado), el navegador de la víctima lo solicita), puede que no. Ojalá me falte algo, ¿es posible un ataque en estas líneas? ¿O es muy poco conocimiento ser peligroso y me hace preocuparme innecesariamente ...?

    
respondido por el Jonathan 15.03.2017 - 18:28
fuente