Na luki natknął się James Bercegay i już w czerwcu poprzedniego roku zgłosił je producentowi. Do tej pory nie otrzymał jednak żadnej odpowiedzi, dlatego też zdecydował się upublicznić swoje odkrycie.
Jedna z luk umożliwia zalogowanie się do dysku sieciowego po wpisaniu na stałe przydzielonego loginu i hasła (mydlinkBRionyg – abc12345cba). Nazwa konkurencyjnej firmy może wskazywać na to, że obaj producenci użyli w oprogramowaniu swoich dysków tego samego kodu sieciowego.
Każdy może skasować ci zawartość dysku
Podatność ta sprawia, że zawartość naszego dysku sieciowego może zostać skasowana po przejściu na stronę internetową, gdzie umieszczony został odpowiedni kod. Warto dodać, że jest to możliwe, nawet jeżeli dysk nie został udostępniony z poziomu internetu i pracuje wyłącznie w sieci lokalnej.
Wystarczy, że ktokolwiek znajdujący się w tej samej sieci, co dysk, przejdzie na odpowiednio spreparowaną stronę internetową, by nośnik został np. wyczyszczony.
Na atak podatne są następujące modele dysków sieciowych WD: My Cloud, My Cloud Mirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 oraz My Cloud DL4100.
Błędy wykryto w oprogramowaniu o numerze 2.30.165 i wcześniejszym. WD informuje, że aktualizacja do nowszej wersji (2.30.172) rozwiązuje problem. Łatka została wydana już w 2017 roku. Wszyscy posiadacze wspomnianych dysków sieciowych powinni zatem zadbać o uaktualnienie oprogramowania.
Źródło: Zaufana Trzecia Strona