Western Digital no ha sido capaz de parchear una importante vulnerabilidad de seguridad en sus servidores NAS MyCloud de la que se le informó hace más de un año, según ha declarado unos expertos investigadores.
Todo esto ocurre pese a que el problema se hizo público en el DEF CON 25 en julio del año pasado.
La última vulnerabilidad, descubierta independientemente por expertos de Securify y Exploitee.rs, es un baipás de autenticación que podría otorgar a un atacante local control total administrativo sobre las unidades.
Los investigadores establecieron un sesión de administrador enlazada a su dirección IP y entonces engañaron a la unidad para que creyese que estaba autentificada estableciendo una cookie username=admin.
Eso fue posible ya que:
El módulo network_mgr.cgi contiene un comando llamado cgi_get_ipv6 que comienza una sesión de administrador que esta enlazada a la dirección IP del usuario haciendo que la petición cuando el parámetro que la invoca es igual a 1.
Ninguna contraseña de administrador, solo una petición CGI al servidor web de MyCloud y un atacante a través de una red local (comprometerlo remotamente dependería de que ese acceso estuviera habilitado).
Securify incluso ha publicado una prueba de concepto sobre el problema.
El único otro requisito necesario es que MyCloud se esté ejecutando en la imagen de firmware 2.x BusyBox, que sería el caso para los dispositivos más modernos (los más antiguos Debian Wheezy 3.x y 4.x no están afectados).
Pese a que se comunicó el fallo a Western Digital en abril de 2017, ninguno de los equipos de investigadores ha tenido una respuesta, ya sea reconociendo el problema o dando un tiempo para solucionarlo. Remco Vermeulen de Exploitee.rs, quien presentó la vulnerabilidad en DEF CON, tuiteó:
We contacted WD about the same vuln and even publicly disclosed it at DEFCON 25 last year (as well as the https://t.co/CdqUCdgpCq wiki). Western Digital refused to acknowledge or fix the finding, so I went as far as to write a @metasploit module for it. https://t.co/oeOxsWeTo4
— Exploitee.rs (@Exploiteers) September 18, 2018
Esta semana le asignaron el código CVE-2018-17153, Western Digital incluso tiene su propia sección en el Wiki de Exploitee.rs, un base de datos con información sobre las debilidades de esos productos.
Durante el último año han surgido varias vulnerabilidades de seguridad en MyCloud, incluyendo varias en enero de las que destaca puertas traseras codificadas por hardware. En esa ocasión, Western Digital tardó varios meses en publicar un parche, que no estaba claro que solucionara todos los problemas.
Parece como si la empresa tuviera problemas con el proceso de gestionar vulnerabilidades cuando se les informa sobre ellas.
Incluso como si considerase las vulnerabilidades como una prioridad menor (que no es probable que sean explotadas), sin cumplir con la buena práctica de mantener a los investigadores al tanto.
Es simple: cuando un parche está disponible, debería ser publicado en la página de soporte de Western Digital.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: