西部數據 MyCloud 網絡存儲存在 RCE 漏洞
西部數據(Western Digital)的MyCloud系列近日被曝出了RCE 漏洞,由于西部數據公司在2015年停止支持的一條產品線存在漏洞,以及此前未知的零日漏洞,過去一個月里,無數客戶的MyBook Live網絡存儲驅動器被遠程刪除。但是,Western DigitalMyCloud的更大范圍的更新網絡存儲設備也存在類似的嚴重零日漏洞。對于許多無法或不愿升級到最新OS的客戶來說,這個漏洞仍然沒有得到解決。
問題出在所有運行MyCloud OS 3的Western Digital網絡附加存儲(NAS)設備上的遠程代碼執行漏洞,該OS是該公司最近才停止支持的。
研究人員Radek Domanski和Pedro Ribeiro原本計劃在去年東京Pwn2Own黑客大賽上展示他們的發現。但就在發布會前幾天,Western Digital發布了MyCloud OS 5,排除了他們發現的漏洞。該更新有效地使他們喪失了在 Pwn2Own 中競爭的機會,因為這次大賽需要針對目標設備支持的最新固件或軟件進行攻擊。
盡管如此,在 2021 年 2 月,兩人還是發布了這段詳細的 YouTube 視頻,其中記錄了他們如何發現一系列漏洞,這些漏洞允許攻擊者使用一個空白的低權限用戶帳戶密碼通過惡意后門遠程更新易受攻擊設備的固件。
研究人員表示,西部數據從未對他們的報告做出回應。在向KrebsOnSecurity提供的一份聲明中,Western Digital表示,他們在Pwn2Own Tokyo 2020之后收到了他們的報告,但當時他們報告的漏洞已經在My Cloud OS 5發布后得到了修復。
西部數據表示:
我們得到的消息證實,相關研究團隊計劃公布漏洞的細節,并要求我們在有任何問題時聯系他們。我們沒有任何問題,所以沒有做出回應。從那時起,我們更新了我們的流程,并對每一份報告作出回應,以避免再次發生類似的誤解。我們非常認真地對待來自安全研究領域的報告,一旦收到報告就會進行調查。
關于Domanski和Ribeiro發現的漏洞是否在OS 3中得到了解決,西部數據公司并沒有非常關心。該公司于2021年3月12日在其支持網站上發表聲明稱,該公司將不再為MyCloud OS 3固件提供進一步的安全更新。
聲明中寫道:
我們強烈鼓勵改用My Cloud OS5固件。如果你的設備不符合升級到我的云OS5的條件,我們建議你升級到支持我的云OS5的其他我的云產品。更多信息可以在這里 找到。
可以支持 OS 5 的 MyCloud 設備列表在這里(https://shop.westerndigital.com/support/software/my-cloud-os)。
但是根據Domanski的說法,OS 5是對西部數據核心OS的完全重寫,因此一些更受歡迎的功能和內置在OS3中缺失了。
Domanski 在談到 OS 5 時說:
它破壞了很多功能,所以一些用戶可能不會決定遷移到OS 5。
認識到這一點,研究人員開發并發布了他們自己的補丁來修復他們在OS 3中發現的漏洞,每次設備重啟時都需要重新應用補丁。西部數據表示,他們知道有第三方為“My Cloud OS 3”提供安全補丁。
該公司表示:
我們沒有評估過任何此類補丁,我們無法為此類補丁提供任何支持。
視頻片段顯示,研究人員通過MyCloud OS 3的一個遠程零日漏洞上傳他們的惡意固件。
Domanski說,OS3上的MyCloud用戶只需確保設備不被設置為可以通過互聯網遠程訪問,就可以實際上消除這種攻擊的威脅。MyCloud設備讓客戶非常容易遠程訪問他們的數據,但這樣做也會讓他們暴露在攻擊中,就像上個月導致MyBook Live設備被大規模抹除的攻擊一樣。對許多用戶來說,幸運的是他們沒有把這個界面暴露在互聯網上。但從Western Digital支持頁面上有關OS3的帖子數量來看,我可以推測用戶基礎仍然相當龐大。這就像是Western Digital在沒有任何通知的情況下就跳轉到OS5,讓所有用戶都失去了支持。
Ars Technica 的 Dan Goodin 深入探討了另一個零日漏洞,該漏洞導致上個月對Western Digital在 2015 年停止支持的 MyBook Live 設備進行大規模攻擊。在回應Goodin的報告時,西部數據承認該漏洞是由西部數據的一名開發人員造成的,他刪除了需要有效用戶密碼才能進行工廠重置的代碼。
面對憤怒的客戶的強烈反對,西部數據也承諾從本月開始為受影響的客戶提供數據恢復服務。Goodin寫道:
MyBook Live的用戶也將有資格享受一個以舊換新計劃,這樣他們就可以升級到MyCloud設備。數據恢復服務將是免費的。
如果攻擊者開始利用這個OS 3漏洞,Western Digital可能很快就會為更多的客戶支付數據恢復服務和以舊換新。
