Un grupo de investigadores de seguridad ha descubierto una serie de vulnerabilidades críticas en productos NAS WD MyCloud, los populares equipos del fabricante Western Digital para guardar en la nube privada toda nuestra vida digital. Según aparece en la web de los investigadores, estos fallos de seguridad aún no han sido solucionados por el fabricante, y permiten ser hackeados remotamente accediendo directamente como superusuario a la raíz, sin restricciones de acceso de ningún tipo. Si tienes uno de estos equipos accesible desde Internet, os recomendamos no hacerlo.
Los WD MyCloud son los equipos estrella del fabricante para guardar en la nube privada toda nuestra información, son uno de los NAS más populares y utilizados debido a su facilidad de puesta en marcha y utilización. Estos equipos son utilizados tanto por usuarios domésticos, como por empresas ya que hay equipos orientados al mercado profesional que también están afectados. Algunas de las características que ofrece WD MyCloud son las copias de seguridad, sincronización automática, acceso local y por supuesto remoto, ya que tiene una opción de acceso a la «nube» privada en nuestro hogar.
Las vulnerabilidades críticas en la familia WD MyCloud
El equipo de investigación y desarrollo de GulfTech ha publicado un fallo de seguridad donde nos han mostrado una puerta trasera codificada, y varias vulnerabilidades adicionales que permitirían a un atacante remoto inyectar comandos en el sistema operativo, y hacerse con el control completo del servidor, incluyendo descargar archivos del usuario o empresa, y también subir otros archivos, en otras palabras, tener control total del servidor NAS de manera remota a través de Internet.
Subida de archivos sin restricción y explotación remota
El primer fallo de seguridad que se ha encontrado, es que un atacante podría cargar un archivo arbitrario en el servidor que se ejecuta en los dispositivos. Este fallo existe debido a que la función gethostbyaddr() está mal implementada por parte de los desarrolladores. Esta vulnerabilidad puede ser usada para obtener una shell remota y ejecutar cualquier comando como superusuario root. El investigador ha escrito un módulo en Metasploit para la explotación de este fallo de seguridad.
Puerta trasera permite explotación remota
Los investigadores también han encontrado la existencia de un backdoor, con un nombre de usuario administrador «mydlinkBRionyg» y la contraseña «abc12345cba», que está hardcodeada en el binario, y que no puede cambiarse de ninguna manera. Debido a este usuario creado predeterminadamente, cualquiera podría iniciar sesión en los dispositivos WD MyCloud con estos credenciales.
Según el investigador, aunque tengamos el NAS solo en local, un atacante podría utilizar un sitio web donde haya un iframe incrustado o una imagen para hacer una solicitud al dispositivo, y utilizando hostnames típicos como «wdmydlink» o «wdmycloudmirror» y hacerse con el control del mismo.
Otras vulnerabilidades en los WD MyCloud
Otras vulnerabilidades encontradas en el firmware de estos NAS, están relacionados con ataques XSRF, basta con visitar una web creada específicamente para atacar el NAS y perderíamos el control de nuestro servidor. También es grave la vulnerabilidad de inyección de comandos, este fallo de seguridad lleva presente desde Marzo 2017 y aún no ha sido solucionado.
Los investigadores también han encontrado que un usuario no autenticado puede cambiar las preferencias de idioma global en el dispositivo, esto podría hacer que un atacante abuse de esta función y realice una denegación de servicio a la interfaz web del sistema.
Dispositivos WD MyCloud afectados por esta vulnerabilidad
Todos los NAS WD MyCloud y My Cloud Mirror con versión de firmware 2.30.165 y anterior están afectados por todas estas vulnerabilidades, el fabricante ha lanzado actualizaciones que solucionan estos problemas de seguridad. El resto de modelos están afectados por todos estos fallos en cualquier versión:
- MyCloud
- MyCloudMirror
- My Cloud Gen 2
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
¿Ha solucionado WD estos graves fallos de seguridad?
Según el equipo de investigadores de seguridad, contactaron con WD en Junio del 2017, y les pidieron los 90 días para realizar el Full Disclosure, sin embargo, parece ser que 6 meses después aún no han solucionado estos fallos de seguridad, y ahora los fallos son totalmente públicos, de hecho, ya están en Internet los exploits para acceder a los servidores NAS MyCloud, y podrás usar el popular Metasploit para hacerlo de una forma fácil y rápida.
En RedesZone hemos comprobado que por ejemplo el modelo My Cloud EX4 tiene como último firmware uno lanzado el 28 de noviembre de 2017, y en el listado de cambios se hace referencia a la corrección de vulnerabilidades de seguridad críticas, pero desconocemos si son justo estas vulnerabilidades a las que hacemos referencia. Según la web oficial de los investigadores de seguridad, aún no hay solución a estos fallos ya que no lo indican en la línea de tiempo ni en la zona de «solución», lo que sí está claro es que la versiones 2.30.165 y anteriores están afectadas por los fallos mencionados.
Os recomendamos leer la investigación completa en la web oficial de GulfTech donde encontraréis todos los detalles sobre las diferentes vulnerabilidades.