Kritikus hibákat javított a Western Digital

​A Western Digital egy nagyon fontos biztonsági frissítést adott ki a MyCloud termékcsaládjába tartozó hálózati adattárolóihoz.
 

James Bercegay, a GulfTech biztonsági kutatója számos veszélyes sebezhetőséget mutatott ki a MyCloud NAS eszközök kapcsán. Ezeket jelezte a gyártónak, amely mostanra készült el a hibajavításokkal. A szakember pedig úgy látta jónak, ha beszámol a felfedezéseiről, és ezáltal hívja fel a figyelmet az érintett NAS-ok frissítésének szükségességére.
 
A biztonsági kutató hátsó kaput keresett a Western Digital termékeiben. Nem is kellett sokáig kutakodnia, mivel egy beégetett felhasználói fiókot fedezett fel, amelyhez egy már ismert jelszó tartozott. Ez pedig nem volt más, mint a mydlinkBRionyg/abc12345cba felhasználónév/jelszó páros. Kimutatta, hogy ezáltal akár távolról is átvehetővé válhat az irányítás a készülékek felett, és azokon root jogosultsággal történő kódfuttatásra is sor kerülhet. A kockázatokat pedig nem kis mértékben fokozza, hogy ez a biztonsági rendellenesség akár automatizáltan is kihasználhatóvá válhat. A biztonsági rés érdekessége, hogy ugyanez a felhasználónév/jelszó páros korábban egyes D-Link eszközök esetében ugyanilyen problémákat vetett fel. A D-Link azonban már 2014-ben megszüntette ezt a gyenge pontot.
 
Bercegay egy másik sebezhetőségre is rávilágított, amelyet a webes felület kapcsán tárt fel. A hiba a gethostbyaddr() PHP függvény nem megfelelő használatára vezethető vissza, és egy erre a célra kialakított exploit révén tetszőleges fájlok feltöltését teszi lehetővé az adattárolókra mindenféle előzetes hitelesítés nélkül. A webes felület kapcsán további problémára is fény derült, amelyek CSRF típusú támadásokat, illetve szolgáltatásmegtagadást tehetnek lehetővé.