Nyhet

Fant ny bug: Kunne få full tilgang til flere Western Digital-disker

Oppgradér til en nyere versjon, sier selskapet.

Nylig skrev vi om eiere av Western Digital-produkter som opplevde at hackere brøt seg inn og gjenopprettet diskene til fabrikkinnstillinger, som resulterte i at de mistet alle data.

Det var takket være to separate sårbarheter i My Book Live-produktene, og det ble spekulert i at flere hackergrupper hadde vært involvert. WD sa etter hvert at de ville forsøke å gjenopprette kundenes tapte data.

Nå har en ny sårbarhet dukket opp, og denne gang omfatter det de langt nyere My Cloud-enhetene. En video om sårbarheten ble opprinnelig publisert allerede i februar, men har blitt hentet frem av sikkerhetsskribenten Brian Krebs i lys av MyBook Live-hackingen.

Kunne fjernoppdatere fastvaren

Det var sikkerhetsforskerne Pedro Ribeiro og Radek Domanski som oppdaget at en kjede av sårbarheter lot en angriper fjernoppdatere fastvaren på Western Digitals My Cloud-nettverksdisker, som er en mye nyere produkttype enn My Book Live-enhetene som mistet data.

Med det kunne de i praksis installere en «bakdør» og få full tilgang til enheten, takket være at operativsystemet My Cloud OS 3 hadde en standard-brukerkonto med tomt passord.

Ribeiro og Domanski skulle opprinnelig delta med funnet i en konkurranse kalt Pwn2Own i fjor, hvor man ved å dokumentere at man kan hacke seg inn i store systemer kan få betalt relativt store pengesummer. I årets utgave ble det betalt ut over 10 millioner kroner.

Oppdaterte, men ikke alle var fornøyde

Bare dager før konkurransen skulle gå av stabelen slapp imidlertid Western Digital My Cloud OS 5, som lukket sårbarheten de hadde funnet. Siden har selskapet varslet at de ikke kommer til å komme med flere oppdateringer til My Cloud OS 3, og anbefaler alle kunder å oppgradere.

«Ulempen» er at OS 5 var en fullstendig gjenoppbygging av hele operativsystemet.

– Det ødela mye funksjonalitet. Så noen brukere kan ha bestemt seg for ikke å migrere til OS 5, sier Domanski til Krebs.

En titt på forumene til Western Digital tyder på at brukerbasen på OS 3 fortsatt er betydelig, sier han.

– Vi hadde ingen spørsmål

Sikkerhetsforskerne kontaktet Western Digital om sårbarheten, men fikk aldri noe svar.

– Kommunikasjonen som kom til oss bekreftet at forskergruppen som var involvert planla å slippe detaljer om sårbarheten og ba oss ta kontakt om vi hadde spørsmål. Vi hadde ingen spørsmål, så vi svarte ikke, sier Western Digital til Krebs.

De sier imidlertid at de har oppdatert rutinene i etterkant, og at de nå svarer på alle rapporter for å unngå misforståelser.

Til Engadget sier selskapet at det finnes en fiks for sårbarheten - å oppgradere til OS 5.

– My Cloud OS 5 er en stor sikkerhetsoppdatering som gir en arkitektonisk oppussing av vår eldre My Cloud-fastvare. Alle My Cloud-produkter som er under aktiv kundestøtte er kvalifisert for My Cloud OS 5-oppgraderingen, og vi anbefaler at alle brukere oppgraderer så raskt som mulig for å dra fordel av de siste sikkerhetsfiksene, sier de.

Koble fra internett

Om du har en WD MyCloud-enhet med OS 3 og ikke vil eller kan oppgradere til OS 5 er en mulig og relativt enkel løsning å deaktivere fjerntilgang til enhetene, i praksis å koble dem fra internett.

Om du er litt kodekyndig har også Ribeiro og Domanski laget sitt eget skript som fikser sårbarheten, men den har det ulempen at det må kjøres om igjen hver gang enheten starter på nytt.

annonse