Hardware

Cuidado, My Cloud da WD tem uma falha que permite acesso da Internet sem password

17 Comentários

Com a chegada dos serviços cloud, muitos começaram a preocupar-se com as questões de privacidade e o roubo dos dados. Isso levou a que os NAS ganhassem fulgor e fossem a escolha de muitos.

Nesta área a WD é um dos principais fabricantes, onde tem muitas soluções. A My Cloud é uma delas e descobriu-se agora que tem uma falha de segurança grave e que pode ser explorada de forma muito simples.

My Cloud WD NAS falha Internet

A linha My Cloud da WD é uma das mais bem sucedidas da marca e das que mais é escolhida pelos utilizadores domésticos. Para além do armazenamento local de dados, permite o acesso remoto aos dados dos utilizadores a partir de qualquer ponto da Internet.

Claro que tem mecanismos de segurança para impedir o acesso não autorizado e proteger os dados armazenados. Mas o que foi descoberto deita por terra esta segurança.

Com uma simples chamada ao endereço público destes NAS, é possível entrar no My Cloud e aceder de forma total aos dados dos utilizadores, sem que qualquer password seja pedida.

https://twitter.com/RemcoVermeulen/status/1042187015712845825

Foi o investigador de segurança Remco Vermeulen que descobriu a falha nos equipamentos da Western Digital. Segundo ele, o problema está num script que chama um comando com permissões de administrador e define um cookie com essa indicação. Ao ser explorado o cookie, este atribui as permissões de admin e abre assim a porta aos atacantes.

Curiosamente esta falha foi reportada há mais de 1 ano e até agora a empresa ainda não a mitigou, tendo por isso o investigador decidido torná-la pública. As recentes atualizações de software não corrigiram a falha, que está pública e que pode ser explorada.

O problema foi também confirmado por outra equipa de investigadores e até o código para o explorar foi tornado público.

My Cloud WD NAS falha Internet

Espera-se que muito em breve a Western Digital corrija a falha numa atualização futura, agora que o problema está público e que qualquer um o pode explorar.

A falha foi descoberta no modelo My Cloud WDBCTL0020HWT da Western Digital, a correr a versão de firmware 2.30.172, mas sabe-se que deverá estar presente n o resto da linha My Cloud, uma vez que este partilha código entre si.

Segundo o investigador de segurança, a única forma de proteção neste momento é o desligar dos equipamentos My Cloud, para que assim estejam isolados da rede e longe do acesso dos atacantes.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
falha Internet My Cloud nas wd

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
MEO Remote: Chegou o novo comando MEO para o seu smartphone
Artigo anterior

MEO Remote: Chegou o novo comando MEO para o seu smartphone
iPhone XS Max tem a maior bateria que a Apple já colocou num iPhone
Próximo artigo

iPhone XS Max tem a maior bateria que a Apple já colocou num iPhone
PUB

Comentários

17

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Oscar
    Oscar

    “esta falha foi reportada há mais de 1 ano e até agora a empresa ainda não a mitigou”
    espectáculo, assim vamos longe!!!

    Responder
  2. Avatar de Oliveira
    Oliveira

    Como cliente da Western Digital (e em particular, como possuidor de 2 NAS com o serviço My Cloud) não vejo qualquer problema nesta questão. O serviço em si já é tão mau, mas tão mau, que mesmo que consigam rebentar com o acesso não devem conseguir ter acesso ao mesmo. É que 99% das vezes não é possível aceder “de fora” ao NAS que está dentro de casa. Umas vezes dá, outras não dá. Por isso, estou tranquilo.

    Responder
    1. Avatar de Jorge Ribeiro
      Jorge Ribeiro

      +100000

      Responder
  3. Avatar de João rodrigues
    João rodrigues

    Acho que têm que rever o artigo. Como podem ver até pelo texto que colocam o exploit é feito dentro da rede local.

    Responder
    1. Avatar de Vítor M.
      Vítor M.

      Nada disso, vê bem o que é mostrado.

      Responder
  4. Avatar de censo
    censo

    Uso produtos WD, mas não uso o MyCloud.

    Responder
  5. Avatar de antonio
    antonio

    Não tenho NAS My Cloud WD, mas não me parece que seja necessário desligá-lo da rede interna. O que é preciso fazer é desligá-lo da rede externa – não permitir o acesso a partir da internet.

    Os NAS têm uma opção para permitir o acesso a partir da internet. Esta é que é preciso desligar neste caso.

    Responder
    1. Avatar de Pedro Costa
      Pedro Costa

      “I recorded a poc showing how a user’s browser can be abused to attack the #MyCloud that is only accessible on the local network.”
      Traduzindo: “Gravei um post mostrando como o navegador de um usuário pode ser usado para atacar o #MyCloud, acessível apenas na rede local.”
      Ou seja, se o NAS estiver ligado à rede “interna” e esta estiver ligada à internet pelos vistos é possível.
      Mas já estou como o utilizador Oliveira escreveu algures aí para cima, o serviço já é tão mau para quem tem a password e raramente se consegue utilizar que para quem não tem password então deve ser impossível! Ou então até é mais fácil, sei lá! 🙂

      Responder
      1. Avatar de antonio
        antonio

        OK. Já percebi.

        Responder
  6. Avatar de cK
    cK

    Esqueçam lá aWestern Digital. Já foi boa nos discos mecânicos antigos. Agora, e por experiência minha que já tive dois externos, deram o ‘badagaio’ cedo. Penso que a nível de cloud, a IOMEGA, agora Lenovo e a Toshiba tem melhores produtos

    Responder
  7. Avatar de Sérgio
    Sérgio

    Já é a segunda vez que troco um HD da wd por não prestar.

    Responder
    1. Avatar de Rui Magalhães
      Rui Magalhães

      Com quantas horas e quedas?

      Responder
  8. Avatar de Paulo
    Paulo

    Sem querer falar mal, para quem já utilizou equipamentos NAS da Synology ou da Qnap, experimentar um produto da linha “My Cloud” da WD é mau demais!
    Um produto mal concebido, faltam-lhe funcionalidades e aceder aos dados é um castigo.

    Transferir ficheiros via interface web/browser, impede que se consiga aceder aos ficheiros via SMB (\\192.168.xx.xx). E vice versa.
    E caricato é que quando ligado a um MAC aparece uma pasta “TimeMachineBackup” que é impossível de ser acedida via PC com Windows. Tudo o que lá coloquei via MAC, tive de re-transferir para a pasta “Public” que pode ser acedida via SMB sem qualquer tipo de proteção. E nem dá para colocar password.

    Até os velhinhos NAS Iomega era claramente superiores em termos de funcionalidades.

    Há tempos foi detetada uma vulnerabilidade no SSL e a Qnap prontamente lançou actualizações para todos os equipamentos, até mesmo para equipamentos que tinham sido descontinuados. Isto sim é profissionalismo!

    Uma pergunta: alguém sabe como substituir o firmware da “My Cloud” e instalar um “de jeito” da comunidade Open Source? Penso que o hardware pode ser reaproveitado.

    Responder
    1. Avatar de Joao
      Joao

      Eu consigo transferir ficheiros via SMB, apenas me é pedida a autenticação antes. Só tem que ativar a opção na interface web antes.
      Tentei uma vez modificar o firmware (uma vez que é linux apenas queria acrescentar medidas de segurança) e deixou de conseguir iniciar.

      Responder
  9. Avatar de Ricardo
    Ricardo

    Pelo que percebi isto aplica-se a versão anterior dos My Cloud sera que se aplica aos novos My Cloud Home?

    Responder
    1. Avatar de João Baltazar
      João Baltazar

      Também tenho essa duvida. Alguém consegue ajudar?
      Já agora dou o meu feedback sobre o Mycloud Home.
      É um produto horrivel. Dificil de configurar os acesso para visualização dos conteudos em streaming e as velocidades de consulta e transferência de ficheiros são terriveis. Em termos de fiabilidade até agora tudo bem sempre ligado à quase um ano.
      Não aconselho a ninguém.

      Responder
  10. Avatar de André Marques
    André Marques

    Boa tarde

    Sabem se essa falha já foi entretanto resolvida por parte da WD?
    Obrigado

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.