Zła wiadomość dla użytkowników dysków sieciowych Western Digital z serii My Cloud. Jak się okazuje, w oprogramowaniu urządzeń dostępna jest luka, która pozwala atakującemu zyskać uprawienia administratora i dostać się do urządzenia bez poznania i stosowania hasła. Co gorsza jednak, problem został zgłoszony producentowi jeszcze w kwietniu 2017 roku i od tamtego czasu luka wciąż nie została załatana.
Z tego też powodu analityk bezpieczeństwa, który ją odkrył i zgłosił producentowi, postanowił dłużej nie czekać i upublicznić w sieci szczegóły związane z błędem. Informacje zostały opublikowane na łamach serwisu Securify, zaś sama luka oznaczona numerem CVE-2018-17153. Jak się okazuje, błąd w oprogramowaniu dysków dotyczy bezpośrednio sposobu uwierzytelniania użytkowników logujących się do oprogramowania i metody ustanawiania sesji przypisywanych do numerów IP.
Jak wynika z analizy, nieautoryzowany użytkownik (czyli w tym przypadku atakujący) jest w stanie ustanowić poprawną sesję bez konieczności uwierzytelnienia. Wykorzystywany jest do tego moduł CGI, który rozpoczyna sesję administratora przypisaną do konkretnego numeru IP, o ile odpowiadająca temu komenda jest wywoływana z właściwą flagą. Dalej wystarczy już tylko ustawić ciasteczko z nazwą użytkownika admin, by pozostałe komendy były wykonywane tak, jakby gdyby wydawał je uwierzytelniony użytkownik. Więcej szczegółów i szerzej opisany dowód działania znaleźć można we wspomnianym serwisie Securify.
Opisywaną lukę udało sie potwierdzić korzystając z dysku My Cloud WDBCTL0020HWT. Sprzęt działał w oparciu o oprogramowanie o numerze 2.30.172, ale jak zwraca uwagę analityk, to wcale nie oznacza, że tylko ta kombinacja sprzętu i oprogramowania jest zagrożona. Wręcz przeciwnie – okazuje się, że znakomita większość dysków w serii My Cloud dzieli wspólne elementy kodu, toteż z dużym prawdopodobieństwem można założyć, że w praktyce luka może być zagrożeniem dla użytkowników wszystkich sieciowych dysków Western Digital.
Co ciekawe, jak tylko informacje o luce zostały upublicznione (na samym Twitterze nie tylko przez opisywanego analityka, ale także zupełnie inny zespół), Western Digital potwierdził istnienie luki w oprogramowaniu i opublikował nowy wpis na blogu. Jak się okazuje, producent jest w trakcie finalizacji zaplanowanej aktualizacji oprogramowania dysków, a właściwa łatka powinna trafić do użytkowników w ciągu najbliższych tygodni.
0 komentarzy