西部数据 MyCloud 网络存储存在 RCE 漏洞
西部数据(Western Digital)的MyCloud系列近日被曝出了RCE 漏洞,由于西部数据公司在2015年停止支持的一条产品线存在漏洞,以及此前未知的零日漏洞,过去一个月里,无数客户的MyBook Live网络存储驱动器被远程删除。但是,Western DigitalMyCloud的更大范围的更新网络存储设备也存在类似的严重零日漏洞。对于许多无法或不愿升级到最新OS的客户来说,这个漏洞仍然没有得到解决。
问题出在所有运行MyCloud OS 3的Western Digital网络附加存储(NAS)设备上的远程代码执行漏洞,该OS是该公司最近才停止支持的。
研究人员Radek Domanski和Pedro Ribeiro原本计划在去年东京Pwn2Own黑客大赛上展示他们的发现。但就在发布会前几天,Western Digital发布了MyCloud OS 5,排除了他们发现的漏洞。该更新有效地使他们丧失了在 Pwn2Own 中竞争的机会,因为这次大赛需要针对目标设备支持的最新固件或软件进行攻击。
尽管如此,在 2021 年 2 月,两人还是发布了这段详细的 YouTube 视频,其中记录了他们如何发现一系列漏洞,这些漏洞允许攻击者使用一个空白的低权限用户帐户密码通过恶意后门远程更新易受攻击设备的固件。
研究人员表示,西部数据从未对他们的报告做出回应。在向KrebsOnSecurity提供的一份声明中,Western Digital表示,他们在Pwn2Own Tokyo 2020之后收到了他们的报告,但当时他们报告的漏洞已经在My Cloud OS 5发布后得到了修复。
西部数据表示:
我们得到的消息证实,相关研究团队计划公布漏洞的细节,并要求我们在有任何问题时联系他们。我们没有任何问题,所以没有做出回应。从那时起,我们更新了我们的流程,并对每一份报告作出回应,以避免再次发生类似的误解。我们非常认真地对待来自安全研究领域的报告,一旦收到报告就会进行调查。
关于Domanski和Ribeiro发现的漏洞是否在OS 3中得到了解决,西部数据公司并没有非常关心。该公司于2021年3月12日在其支持网站上发表声明称,该公司将不再为MyCloud OS 3固件提供进一步的安全更新。
声明中写道:
我们强烈鼓励改用My Cloud OS5固件。如果你的设备不符合升级到我的云OS5的条件,我们建议你升级到支持我的云OS5的其他我的云产品。更多信息可以在这里 找到。
可以支持 OS 5 的 MyCloud 设备列表在这里(https://shop.westerndigital.com/support/software/my-cloud-os)。
但是根据Domanski的说法,OS 5是对西部数据核心OS的完全重写,因此一些更受欢迎的功能和内置在OS3中缺失了。
Domanski 在谈到 OS 5 时说:
它破坏了很多功能,所以一些用户可能不会决定迁移到OS 5。
认识到这一点,研究人员开发并发布了他们自己的补丁来修复他们在OS 3中发现的漏洞,每次设备重启时都需要重新应用补丁。西部数据表示,他们知道有第三方为“My Cloud OS 3”提供安全补丁。
该公司表示:
我们没有评估过任何此类补丁,我们无法为此类补丁提供任何支持。
视频片段显示,研究人员通过MyCloud OS 3的一个远程零日漏洞上传他们的恶意固件。
Domanski说,OS3上的MyCloud用户只需确保设备不被设置为可以通过互联网远程访问,就可以实际上消除这种攻击的威胁。MyCloud设备让客户非常容易远程访问他们的数据,但这样做也会让他们暴露在攻击中,就像上个月导致MyBook Live设备被大规模抹除的攻击一样。对许多用户来说,幸运的是他们没有把这个界面暴露在互联网上。但从Western Digital支持页面上有关OS3的帖子数量来看,我可以推测用户基础仍然相当庞大。这就像是Western Digital在没有任何通知的情况下就跳转到OS5,让所有用户都失去了支持。
Ars Technica 的 Dan Goodin 深入探讨了另一个零日漏洞,该漏洞导致上个月对Western Digital在 2015 年停止支持的 MyBook Live 设备进行大规模攻击。在回应Goodin的报告时,西部数据承认该漏洞是由西部数据的一名开发人员造成的,他删除了需要有效用户密码才能进行工厂重置的代码。
面对愤怒的客户的强烈反对,西部数据也承诺从本月开始为受影响的客户提供数据恢复服务。Goodin写道:
MyBook Live的用户也将有资格享受一个以旧换新计划,这样他们就可以升级到MyCloud设备。数据恢复服务将是免费的。
如果攻击者开始利用这个OS 3漏洞,Western Digital可能很快就会为更多的客户支付数据恢复服务和以旧换新。
