В нескольких NAS-устройствах Western Digital серии MyCloud обнаружились сразу несколько серьезных проблем, одна из которых представляет собой бэкдор с потенциалом червя. Уязвимости были выявлены еще летом, но публикация сведений о них заставила ждать зимы.

Проблема: бэкдор

Целый ряд различных проблем обнаружился в персональных NAS-устройствах (внешних жестких дисках) Western Digital MyCloud.

Первой, наиболее легко эксплуатируемой уязвимостью является закодированный в системе бэкдор. С помощью комбинации символов mydlinkBRionyg:abc12345cba все желающие могут получить доступ к памяти устройства. Аккаунт с этим логином и паролем не обладает администраторскими полномочиями, однако привилегии можно повысить, используя другие уязвимости. 

Злоумышленник может действовать не только через интернет, но и через локальную сеть (то есть, уже за фаерволлом).

Эксплуатация предельно проста: в код любого сайта достаточно внедрить вредоносный iframe или изображение размером в один пиксель, которые незаметно для пользователя отправят запрос уязвимому устройству, используя любое из наименований хоста WD MyCloud — они обыкновенно предсказуемы и, как правило, выглядят как wdmycloud, wdmycloudmirror и так далее.

В отчете компании Gulftech, чьи эксперты обнаружили уязвимость, приводятся несколько примеров вредоносного кода, позволяющих захватывать контроль над устройством или форматировать его без необходимости какой-либо авторизации.

Проблемы затрагивают устройства MyCloud, MyCloud Mirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 и My Cloud DL4100.

Проблема: загрузка произвольных файлов

Баг связан с файлом multi_uploadify.php и неверной имплементацией функции gethostbyaddr(). Они позволяют атакующему без ограничений загружать на устройство любые файлы с перспективой захвата контроля над ним. Соответствующий модуль, кстати, уже добавлен в набор Metasploit.

Эксплуатацию этой уязвимости эксперты также называют «тривиальной».

Проблема: уязвимость перед CSRF-атаками и инъекциями команд

NAS-устройства MyCloud оказались чрезвычайно уязвимыми перед популярными разновидностями кибератак — в диапазоне от CSRF и до DoS. Кроме того, простой запрос GET /api/2.1/rest/users? HTTP/1.1 позволял получить список пользователей и подробные данные о каждом из них.

Запоздалые исправления

Western Digital в своем блоге уже объявила, что новая версия прошивки 2.30.172 устраняет все эти уязвимости. 

Эксперты GulfTech, однако, отмечают, что прошивку WD используют и другие производители. Точно такой же бэкдор, например, присутствовал в D-Link DNS-320L ShareCenter. С этим, кстати, и связан логин вышеупомянутого бэкдора — mydlinkBRionyg.

«По-видимомму, большая часть программ WD MyCloud использует тот же код, что и в D-Link DNS-320L», — говорится в публикации GulfTech. Далее указывается, что D-Link устранил этот бэкдор еще в 2014 г. Хотя на протяжении большей части года этот бэкдор присутствовал и в устройствах WD, и в устройствах D-Link.