Varios fallos de seguridad en los NAS de Western Digital abren las puertas a posibles atacantes

Los propietarios de una unidad de almacenamiento en red (NAS) con el sello de Western Digital deberían tomar ciertas precauciones antes de utilizarlos. El motivo es muy sencillo: virtualmente toda la gama de productos contiene varias vulnerabilidades que permiten el acceso no autorizado al dispositivo. Así lo han descubierto los ufanos expertos en seguridad de Exploitee.rs, donde señalan que un usuario no autenticado puede subir archivos a una unidad My Cloud de forma relativamente sencilla.

Utilizando un NAS WD My Cloud PR4100 como banco de pruebas, Exploitee.rs ha podido dar con múltiples agujeros de seguridad gracias a los cuales es posible obtener acceso no autorizado de forma remota, abriendo un importante abanico de posibilidades a cualquier atacante. Pero lo que es más doloso: WD parcheó recientemente uno de los agujeros descubiertos durante el análisis de Exploitee.rs, introduciendo de paso una nueva vulnerabilidad con las mismas consecuencias.


Las vulnerabilidades descubiertas por Exploitee.rs afectan a la mayor parte o a todos los productos de la gama My Cloud. Esta es la lista facilitada por el sitio:

  • My Cloud
  • My Cloud Gen 2
  • My Cloud Mirror
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Desde Exploitee.rs señalan que normalmente intentan trabajar con los fabricantes cuando detectan que sus productos tienen problemas de seguridad, pero en este caso han decidido tomar medidas drásticas y publicar toda la información técnica para que todo el mundo pueda consultarla. Según Exploitee.rs, el motivo es la pobre "reputación de WD en la comunidad" a la hora de solucionar (o más bien ignorar) bugs de gran importancia y que pueden poner en peligro la seguridad de sus clientes. De esta forma, el sitio intenta como mínimo alertar a la comunidad para que retiren los NAS afectados de sus redes mientras se trabaja en algún tipo de solución.

Fuente: Exploitee
Joe, no estamos seguros con ningun cacharro. cawento
No me extraña para nada. Yo hace año y pico estuve pensando en pillar uno de sus NAS, y mirando un poco por foros, leí un montón de críticas de usuarios relativas a problemas de usabilidad, configuración... que WD tardaba la de mi madre en corregir, si es que lo hacían.

Si trabajan así con aspectos que son visibles por el usuario normal, como para confiar en que trabajen eficientemente de cara a la seguridad.
Hay que irse a soluciones con más calidad a todos los niveles, como synology o qnap. Que wd se dedique a lo que tiene que dedicarse, hdds.
malo malo malo que pase esto...no tengo ningun mycloud,pensaba pillar uno (tengo 4 discos duros wd y son maravillosos)pero despues de leer esto...me echo atras en mycloud
Madre del amor hermoso. No es malo que haya bugs de seguridad, se tapan (sería la leche que no los hubiera, pero no es así), lo triste es que para tapar un problema generas uno igual de grande... Menuda panda que tiene en el departamento de software en wd..... Lamentable a cualquier nivel.
Entre esta noticia y la de Facebook... Nos interesan más las noticias de videojuegos la verdad...
A mi me interesan todas las noticias sobre juegos, internet y tecnología que suelen postear en estos foros. Eol es una de mis páginas (si no la página) de referencia. Muchas gracias y seguid así.
Me pregunto si el WD My Book Live que tengo tendrá esos mismos fallos. Echare un ojo por si le falta alguna actualización, pero teniendo en cuenta que esta basado en Debian Lenny tiene que tener un puñado de bugs sin parchear a estas alturas.
Nada, el único remedio contra posibles ataques es desconectar el cable de internet.
Imagino que desactivando el acceso remoto a la nube en la configuración también valdrá, pero solo lo verás en red local.
Durante un par de años tuve un my cloud, en fin
El tema es... ¿con que cacharro estamos sin problemas de seguridad, bug, robo?. Es peor aún, ¿que hay que con tiempo y dedicación no se pueda piratear etc..?
ahomaru escribió:El tema es... ¿con que cacharro estamos sin problemas de seguridad, bug, robo?. Es peor aún, ¿que hay que con tiempo y dedicación no se pueda piratear etc..?


No hay nada infalible, aunque generalmente siempre estarás más seguro con una solución basada en el software libre y que tenga una comunidad activa detrás.
Pues a ver si no nos dejan de lado y sacan algún parche/firmware que arregle
rardila escribió:Imagino que desactivando el acceso remoto a la nube en la configuración también valdrá, pero solo lo verás en red local.



Serviria para evitar el problema de manera temporal? He visto que en el foro de WD no se ha publicado nada no?
15 respuestas