Еще один ткацкий станок нулевого дня для многих пользователей Western Digital

Ещеодинткацкийстанокнулевогоднядлямногихпользователейwesterndigital

Некоторые устройства хранения данных Western Digital на базе MyCloud. Изображение: WD.

Бесчисленное множество Western Digital клиенты видели, как их сетевые накопители MyBook Live в прошлом месяце были очищены удаленно из-за ошибки в линейке продуктов компании. прекратили поддержку в 2020, а также ранее неизвестный недостаток нулевого дня. Но есть не менее серьезный недостаток нулевого дня, присутствующий в гораздо более широком диапазоне новых сетевых устройств хранения Western Digital MyCloud , которые останутся исправлена ​​для многих клиентов, которые не могут или не хотят обновиться до последней версии операционной системы.

Проблема заключается в ошибке удаленного выполнения кода, которая присутствует во всех сетевых хранилищах Western Digital (NAS ) устройства под управлением MyCloud OS 3 , операционная система, поддержку которой компания недавно прекратила.

Исследователи Радек Доманский и Педро Рибейро первоначально планировали представить свои результаты на хакерском конкурсе Pwn2Own в Токио в прошлом году. Но всего за несколько дней до события Western Digital выпустила MyCloud OS 5 , которая устранила обнаруженную ими ошибку. Это обновление фактически свело на нет их шансы на участие в Pwn2Own, где требуется, чтобы эксплойты работали с последней прошивкой или программным обеспечением, поддерживаемым целевым устройством.

Тем не менее, в феврале 2100, дуэт опубликовал это подробное видео на YouTube за февраль , в котором рассказывается, как они обнаружили цепочку слабых мест, которая позволяет злоумышленнику удаленно обновить прошивку уязвимого устройства с помощью вредоносного бэкдора. – с использованием учетной записи с низким уровнем привилегий и пустым паролем.

Исследователи заявили, что Western Digital никогда не отвечала на их отчеты. В заявлении, предоставленном KrebsOnSecurity, Western Digital заявила, что получила свой отчет после того, как Pwn2Own Tokyo 2021, но на тот момент уязвимость, о которой они сообщили, уже была исправлена ​​выпуском My Cloud OS 5.

«Сообщение, которое пришло нам way подтвердила, что вовлеченная исследовательская группа планировала раскрыть подробности уязвимости, и попросила нас связываться с ними с любыми вопросами », – сказали в Western Digital. «У нас не было никаких вопросов, поэтому мы не ответили. С тех пор мы обновили наш процесс и отвечаем на каждый отчет, чтобы избежать подобных недоразумений снова. Мы очень серьезно относимся к отчетам сообщества исследователей безопасности и проводим расследования, как только их получаем ».

Western Digital проигнорировала вопросы о том, была ли когда-либо устранена уязвимость, обнаруженная Домански и Рибейро. в OS 3. Заявление, опубликованное на сайте поддержки March 28, 2021 заявляет, что компания больше не будет предоставлять дальнейшие обновления безопасности для прошивки MyCloud OS 3 .

«Мы настоятельно рекомендуем перейти на прошивку My Cloud OS5», – говорится в заявлении. «Если ваше устройство не подходит для обновления до My Cloud OS 5, мы рекомендуем вам перейти на одно из других предложений My Cloud, которые поддерживают My Cloud OS 5. Дополнительную информацию можно найти здесь.” Список устройств MyCloud, которые могут поддерживать OS 5, находится здесь .

Но, по словам Домански, OS 5 является полностью переписанным ядром операционной системы Western Digital, в результате чего некоторые из наиболее популярных функций и функций, встроенных в OS3, отсутствуют.

«Это нарушило большую часть функциональности», – сказал Домански об ОС 5. «Таким образом, некоторые пользователи могут не решить перейти на ОС 5».

В знак признания это, исследователи разработали и выпустили свой собственный патч , который исправляет обнаруженные ими уязвимости в OS 3 (патч необходимо повторно применять при каждой перезагрузке устройства). Western Digital заявила, что ей известно о третьих лицах, предлагающих исправления безопасности для My Cloud OS 3.

«Мы не оценивали какие-либо такие исправления и не можем предоставить какую-либо поддержку для таких исправлений. , – заявила компания.

Отрывок из видео, на котором исследователи загружают свою вредоносную прошивку через удаленную уязвимость нулевого дня в MyCloud OS 3.

Домански сказал, что пользователи MyCloud на OS 3 могут практически устранить угрозу от этой атаки, просто убедившись, что устройства не настроены для удаленного доступа через Интернет. Устройства MyCloud упрощают пользователям удаленный доступ к своим данным, но при этом подвергаются атакам, как в прошлом месяце, которые привели к массовому уничтожению данных с устройств MyBook Live.

«К счастью для многих пользователей, они не открывают интерфейс для Интернета», – сказал он. «Но, глядя на количество сообщений на странице поддержки Western Digital, связанных с OS3, я могу предположить, что количество пользователей по-прежнему велико. Такое ощущение, что Western Digital без какого-либо уведомления перешла на OS5, оставив всех пользователей без поддержки ».

Дэн Гудин в Ars Technica имеет захватывающее глубокое погружение на другой недостаток нулевого дня, который привел к массовая атака в прошлом месяце на устройства MyBook Live, которые Western Digital прекратила поддерживать в 2018. В ответ на отчет Гудина Western Digital признала, что уязвимость была допущена разработчиком Western Digital, который удалил код, который требовал действительного пароля пользователя, прежде чем разрешить заводские сбросы.

реакция разгневанных клиентов, Western Digital также пообещала для предоставления затронутым клиентам услуг по восстановлению данных, начиная с этого месяца. «Клиенты MyBook Live также будут иметь право на программу обмена, чтобы они могли перейти на устройства MyCloud», – написал Гудин. «Пресс-секретарь заявила, что услуга восстановления данных будет бесплатной».

Если злоумышленники найдут способ использовать эту ошибку OS 3, Western Digital может вскоре оплатить услуги восстановления данных и обмены для гораздо большего числа клиентов.