Otro día cero se avecina para muchos usuarios de Western Digital: Krebs on Protection


Algunos de los dispositivos de almacenamiento de datos basados ​​en MyCloud de Western Digital. Imagen: WD.

Incontable Occidente electronic los clientes vieron su MyBook Stay Las unidades de almacenamiento en red se borraron de forma remota el mes pasado gracias a un error en una línea de productos que la empresa dejó de admitir en 2015, así como a un defecto de día cero desconocido anteriormente. Pero hay una falla de día cero igualmente grave presente en una gama mucho más amplia de Western Digital Mi nube dispositivos de almacenamiento en purple que permanecerán sin arreglar para muchos clientes que no pueden o no quieren actualizar al último sistema operativo.

El problema es una falla de ejecución de código remoto que reside en todos los dispositivos de almacenamiento conectados a la pink (NAS) de Western Electronic que se ejecutan Mi nube SO 3, un sistema operativo que la empresa dejó de admitir recientemente.

Investigadores Radek Domanski y Pedro Ribeiro originalmente planeado presentar sus hallazgos en el Concurso de piratería Pwn2Own en Tokio el año pasado. Pero solo unos días antes del evento, Western Electronic lanzó MyCloud OS 5, que eliminó el error que encontraron. Esa actualización anuló efectivamente sus posibilidades de competir en Pwn2Have, que requiere que los exploits funcionen contra el último firmware o computer software appropriate con el dispositivo objetivo.

Sin embargo, en febrero de 2021, el dúo publicó este video detallado de YouTube de febrero, que documenta cómo descubrieron una cadena de debilidades que permite a un atacante actualizar de forma remota el firmware de un dispositivo vulnerable con una puerta trasera maliciosa, utilizando una cuenta de usuario con pocos privilegios que tiene una contraseña en blanco.

(incrustar) https://www.youtube.com/observe?v=vsg9YgvGBec (/ incrustar)

Los investigadores dijeron que Western Electronic nunca respondió a sus informes. En un comunicado proporcionado a KrebsOnSecurity, Western Electronic dijo que recibió su informe después de Pwn2Very own Tokyo 2020, pero que en ese momento la vulnerabilidad que informaron ya había sido corregida por el lanzamiento de My Cloud OS 5.

“La comunicación que recibimos confirmó que el equipo de investigación involucrado planeaba dar a conocer los detalles de la vulnerabilidad y nos pidió que los contáramos con cualquier pregunta”, dijo Western Electronic. «No teníamos ninguna pregunta, por lo que no respondimos. Desde entonces, hemos actualizado nuestro proceso y respondemos a todos los informes para evitar una mala comunicación como esta nuevamente. Nos tomamos muy en serio los informes de la comunidad de investigación de seguridad y llevamos a cabo investigaciones tan pronto como los recibimos «.

Western Electronic ignoró las preguntas sobre si la falla encontrada por Domanski y Ribeiro alguna vez fue abordada en OS 3. Una declaración publicada en su sitio de soporte el 12 de marzo de 2021 dice que la compañía ya no proporciona más actualizaciones de seguridad para el firmware MyCloud OS 3.

«Recomendamos encarecidamente que se cambie al firmware My Cloud OS5», se lee en el comunicado. “Si su dispositivo no es elegible para la actualización a My Cloud OS 5, le recomendamos que actualice a una de nuestras otras ofertas de My Cloud que sean compatibles con My Cloud OS 5. Puede encontrar más información aquí. » Una lista de dispositivos MyCloud que pueden soportar OS 5 es aquí.

Pero según Domanski, OS 5 es una reescritura completa del sistema operativo central de Western Digital y, como resultado, faltan algunas de las características y funciones más populares integradas en OS3.

«Rompió muchas funciones», dijo Domanski sobre OS 5. «Por lo que algunos usuarios podrían no decidir migrar a OS 5.»

En reconocimiento de esto, los investigadores han desarrolló y lanzó su propio parche que corrige las vulnerabilidades que encontraron en OS 3 (el parche debe volver a aplicarse cada vez que se reinicia el dispositivo). Western Electronic dijo que está al tanto de que terceros ofrecen parches de seguridad para My Cloud OS 3.

«No hemos evaluado ninguno de estos parches y no podemos proporcionar ningún soporte para dichos parches», afirmó la empresa.

Un fragmento del video clip que muestra a los investigadores cargando su firmware malicioso a través de una falla remota de día cero en MyCloud OS 3.

Domanski dijo que los usuarios de MyCloud en OS 3 pueden eliminar virtualmente la amenaza de este ataque simplemente asegurándose de que los dispositivos no estén configurados para ser accesibles de forma remota a través de Net. Los dispositivos MyCloud facilitan que los clientes accedan a sus datos de forma remota, pero hacerlo también los expone a ataques como el del mes pasado que llevaron a la eliminación masiva de dispositivos MyBook Dwell.

«Afortunadamente para muchos usuarios, no exponen la interfaz a World wide web», dijo. “Pero al ver la cantidad de publicaciones en la página de soporte de Western Digital relacionadas con OS3, puedo asumir que la base de usuarios sigue siendo significant. Casi parece que Western Digital sin previo aviso saltó a OS5, dejando a todos los usuarios sin soporte «.

Dan Goodin a Ars Technica posee una inmersión profunda fascinante sobre la otra falla de día cero que llevó al ataque masivo el mes pasado a los dispositivos MyBook Dwell que Western Digital dejó de admitir en 2015. En respuesta al informe de Goodin, Western Electronic reconoció que la falla fue habilitada por un desarrollador de Western Digital que eliminó el código que requiere una contraseña de usuario válida antes de permitir que prosiga el restablecimiento de fábrica.

Frente a una reacción violenta de clientes enojados, Western Digital también prometido para proporcionar servicios de recuperación de datos a los clientes afectados a partir de este mes. «Los clientes de MyBook Reside también serán elegibles para un programa de intercambio para que puedan actualizarse a dispositivos MyCloud», escribió Goodin. «Una portavoz dijo que el servicio de recuperación de datos será gratuito».

Si los atacantes consiguen explotar este error de OS 3, Western Digital pronto podría estar pagando por servicios de recuperación de datos e intercambios para muchos más clientes.





Enlace a la noticia original