Številni uporabniki NAS strežnikov so lastniki Western Digital MyCloud NAS naprav. Njihove naprave so popularne že pri vstopnih modelih in pa tudi višje cenovni modeli, vendar pa je bila odkrita ranljivost, ki omogoči “enostaven” obhod avtentikacijskega procesa. Rezultat tega je velika skrb kako zadržati podatke, naložene na NAS-u zasebne oziroma z omejenim dostopom. Po številnih poročanjih pa podjetje WD ni storilo ničesar, da bi to napako popravilo. Prav tako pa so bili s to napako seznanjeni že več kot eno leto nazaj.
Po tem, ko je aprila 2017 varnostni raziskovalec Remco Vermeulen na napako imenovano privilege escalation opozoril WD, se je podjetje prenehalo odzivati na komunikacijo z njim. Standardna praksa je, da dobi podjetje 90 dni časa, da se odzove, ko nekdo najde napako, Vermeulen je na odgovor WD-ja in popravilo napake počakal veliko dlje kot to (260 dni). Vermeulen je opazil, da je WD v zadnjem letu izdal številne popravke vgrajene programske opreme (firmware), vendar pa noben izmed popravkov ni vseboval popravila napake za enostaven oddaljen dostop do NAS-a. V tem času je napako odkrila tudi druga varnostna ekipa, ki je objavila svojo kodo, kako napako izkoristit, poroča TechCrunch.
Po besedah Vermeulena je to napako zelo enostavno izkoristiti. Če vaša MyCloud naprava omogoča oddaljen dostop preko interneta, lahko vsak neavtenticiran uporabnik ustvari veljavno sejo, če nastavi piškotek username=admin. S tem pridobi »popoln nadzor« nad podatki na NAS-u preko spletnega vmesnika. Razlog za to ranljivost v varnosti je zaradi tega, ker nadzorna plošča spletnega vmesnika »nepravilno preverja uporabnikove poverilnice, predno dovoli napadalcu uporabo orodij, ki bi morali zahtevati višji nivo dostopa«.
Kljub ignoriranju Vermeulena s strani podjetja WD, pa se je njihov predstavnik že odzval na TechCrunch glede te napake. Povedal je, da so že v procesu zaključevanja načrtovane posodobitve vgrajene programske opreme, ki naj bi to napako odpravila. Kar se tiče datuma nadgradnje, naj bi ta bila pripravljena »v roku nekaj tednov«. WD je priznal, da so MY Cloud EX2, EX4 in Mirror izdelki ranljivi, novejši My Cloud Home naprave pa naj bi bile varne.
Če ste lastnik katere izmed WD naprav, ki so ranljive Vermeulen priporoča, da se napravo odklopi z internetnega dostopa, dokler ne bo izšel popravek.
Sestavil in napisal: Razergamer165