Nuevo fallo de seguridad en Western Digital My Cloud que deja el contenido expuesto
- Vulnerabilidades
Una vulnerabilidad de omisión de autenticación permitiría que un atacante accediera como administrador sin necesidad de proporcionar contraseña, tomando el control total del dispositivo My Cloud.
|
También puedes leer... |
Investigadores de Securify han descubierto una vulnerabilidad de omisión de autenticación en Western Digial My Cloud que permite escalar privilegios de administrador. Explican en el blog de la compañía que el fallo se ha verificado en el modelo WDBCTL0020HWT de Western Digital My Cloud ejecutando la versión 2.30.172 del firmware; el problema, añaden, no está limitado al modelo enunciado ya que “la mayoría de los productos de la serie My Cloud comparten el mismo código (vulnerable)”.
La vulnerabilidad podría ser explotada por un atacante para obtener acceso de nivel administrativo al dispositivo a través de una solicitud HTTP sin necesidad de una contraseña, con lo que podría ejecutar comandos, acceder a los datos almacenados, así como modificarlos, o incluso borrar el NAS.
El fallo de seguridad tiene que ver con el proceso de creación de la sesión de administrador implementada por los dispositivos My Cloud que se vinculan a la dirección IP del usuario.
Explican los investigadores de Securify que cada vez que un administrador se autentica, se crea una sesión del lado del servidor que está vinculada a la dirección IP del usuario; “una vez creada la sesión, es posible llamar a los módulos CGI autenticados enviando el nombre de usuario cookie = admin en la solicitud HTTP. El CGI invocado verificará si hay una sesión válida y está vinculada a la dirección IP del usuario”. A partir de aquí lo que se ha detectado es que es posible que un atacante no autenticado cree una sesión válida sin necesidad de autenticarse.
Recurrente
La publicada ahora por los investigadores de Securify no es el primer fallo de seguridad detectado en los dispositivos de almacenamiento en red de Western Digital.
A primeros de este año se conocía la existencia de múltiples vulnerabilidades y una puerta trasera que permitían a un ciberdelincuentes acceder de forma remota a la raíz del dispositivo. Seis meses antes de que todos los detalles de los fallos fuera públicas y se supiera de la existencia en Internet de una prueba de concepto que los explotaba, se había informado al fabricante.
Ayúdanos a conocer cuáles son las tendencias tecnológicas que se impondrán en la empresa el próximo año y más allá, y cómo se está construyendo el futuro digital.
