image

Western Digital MyCloud vol ongepatchte beveiligingslekken

dinsdag 7 maart 2017, 09:54 door Redactie, 6 reacties

Onderzoekers hebben in de My Cloud-netwerkschijven van harde schijffabrikant Western Digital 85 kwetsbaarheden gevonden waardoor een aanvaller in het ergste geval de apparaten op afstand kan overnemen. Beveiligingsupdates zijn nog niet beschikbaar, omdat Western Digital niet werd ingelicht.

Via de kwetsbaarheden kan een aanvaller de inlogcontrole omzeilen, eigen commando's uitvoeren en bestanden zonder rechten uploaden. Volgens onderzoekers van Exploitee.rs gaat het om meer dan 83 kwetsbaarheden om op afstand roottoegang te krijgen. De onderzoekers besloten Western Digital niet van te voren in te lichten omdat het bedrijf zo'n slechte reputatie onder beveiligingsonderzoekers heeft.

"Het negeren van deze bugs zou de kwetsbare apparaten langer online laten terwijl de responsible disclosure wordt gecoördineerd", aldus de onderzoekers. Door de kwetsbaarheden openbaar te maken hopen ze dat mensen de kwetsbare apparaten van de openbare gedeeltes van hun netwerk halen en de toegang waar mogelijk beperken. Ook hopen ze dat Western Digital nu sneller met updates komt. Een overzicht van alle kwetsbare modellen is op de website van Exploitee.rs te vinden.

Reacties (6)
07-03-2017, 11:10 door Anoniem
Engeland, 1705, ergens in de buurt van wat nu het noorden van londen is:
De deur van het kruit opslag schuurtje klemt, dus een groep proactieve soldaten hebben het schuurtje in brand gestoken.
zou deze manier van disclosure uiteindelijk in het gezicht opblazen of loopt het met een sisser af?

uiteraard een kwalijke zaak dat WD zo slecht met meldingen om gaat, maar nog slechter van deze onderzoekers om niets vermoedende eindgebruikers zo in gevaar te brengen. Het product van Exploitee.rs is namelijk gevaarlijker dan dat van WD
(een vulnerability disclosure is in mijn ogen altijd gevaarlijker dan iedere RCE 0-day)
07-03-2017, 12:27 door Anoniem

uiteraard een kwalijke zaak dat WD zo slecht met meldingen om gaat, maar nog slechter van deze onderzoekers om niets vermoedende eindgebruikers zo in gevaar te brengen. Het product van Exploitee.rs is namelijk gevaarlijker dan dat van WD
(een vulnerability disclosure is in mijn ogen altijd gevaarlijker dan iedere RCE 0-day)

Het word ook maar eens tijd dat fabrikanten op de blaren gaan zitten. Moeten ze maar niet zo een dienst leveren, doe het goed of doe het niet. Ik snap uberhaupt niet wat WD in cloud diensten moet, lijkt een beetje op een hersenchirurg die in het weekend bijklust als tandarts.
07-03-2017, 15:52 door Anoniem
[
Het word ook maar eens tijd dat fabrikanten op de blaren gaan zitten. Moeten ze maar niet zo een dienst leveren, doe het goed of doe het niet. Ik snap uberhaupt niet wat WD in cloud diensten moet, lijkt een beetje op een hersenchirurg die in het weekend bijklust als tandarts.
helemaal mee eens, maar toch vind ik dat die tandarts assistente die nu hersenchirurgie uitvoert op de patient omdat de verstandskies pijn deed toch niet de juiste oplossing.

overigens is mycloud geen cloud oplossing, maar gewoon een lokale NAS met de naam mycloud
de mycloud mirror van WD (Wat Duur) is de cloud dienst als je een online backup wil van je mycloud
07-03-2017, 15:53 door Anoniem
Tja cloud services daar moet je zin in hebben.
Qua security, qua privacy en qua werkbaarheid met grote bestanden.

De kwaliteit van de harddisks en garantie policy bij WD schijven is gelukkig zeer goed (in het uitzonderlijke geval dat je er gebruik van moet maken).
Ja, ik wet het, Hitachi is nog beter qua levensduur. Maar helaas echt in onbetaalbaar in verhouding tot WD schijven.

Waar ik wel benieuwd naar ben is of iemand een goede nas weet die zonder extern internet kan (muv af en toe een update binnenhalen), dus alleen voor gebruik op een lokaal netwerk en ook andere poorten heeft voor snelle dataoverdracht om op in te prikken en en vooral ook geen installatie van Java op aangesloten machines vereist.

Dus degelijk materiaal dat je niet verplicht continue aan het internet hoeft te hangen, zonder cloud functionaliteit en dat vooral geen extra java vereist om dat ding uberhaupt te kunnen benaderen en te beheren (bespaar me java discussies, ik wil het niet verplicht op mijn systemen, basta).
07-03-2017, 16:59 door Anoniem
SOHO gebruikers die zich niet dagelijks bezig houden met IT security moeten hun WD MyCloud NASsen uit hebben staan totdat ze nodig zijn voor backup enz. Mijn NAS gaat elke avond automatisch uit, hiermee is het tijdswindow om mijn NAS aan te vallen kleiner.

Verder moet je, helaas tegenwoordig, altijd je gevoelige gegevens versleuteld opslaan - zeker ook op een backup.
08-03-2017, 11:37 door Anoniem
Maar hoe zouden aanvallers de WD MyCloud NAS kunnen aanvallen van buitenaf? Dus als deze NAS gewoon in je netwerk hangt zonder dat er poorten geforward zijn naar buiten. Er vanuit gaande dat er totaal geen toegang is tot het LAN netwerk dmv exploits op devices.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.