Ang default na configuration ng Western Digital My
Ulap Ang mga EX2 network drive ay nagbibigay-daan sa sinumang hindi awtorisadong gumagamit sa lokal na network na kumuha ng mga file sa pamamagitan ng pagpapadala ng mga kahilingan sa HTTP, ayon sa mga mananaliksik ng seguridad. Ang My Cloud device ng Western Digital ay storage/backup device na nagbibigay-daan sa mga user na mag-backup at mag-imbak ng mahahalagang dokumento, larawan at media file.
Sa isang advisory sa seguridad, sinabi ng mga mananaliksik sa Trustwave na kapag naka-on ang device, awtomatikong magsisimula ang UPnP-media server, na bilang default ay nagpapahintulot sa sinumang user na maaaring magpadala ng mga kahilingan sa HTTP sa device na mag-extract ng anumang mga file. Kaya, posibleng i-bypass ang anumang mga pahintulot o paghihigpit na itinakda ng may-ari o administrator ng device.
"Posibleng mag-access ng mga file sa storage kahit na hindi pinagana ang mga Pampublikong pagbabahagi. Sa partikular, sinuman ay maaaring mag-isyu ng mga kahilingan sa HTTP sa TMSContentDirectory/Control
sa port 9000 na nagpapasa ng iba't ibang aksyon. Ang pagkilos na Mag-browse ay nagbabalik ng XML na may mga URL sa mga indibidwal na file sa device," sabi ng mga mananaliksik.
Sinabi ng mga mananaliksik na ipinaalam nila sa Western Digital ang problema noong Enero ng taong ito, ngunit sinabi ng tagagawa na hindi ito maglalabas ng isang patch. Bilang isang hakbang upang maiwasan ang pagsasamantala sa kahinaan, pinapayuhan ang mga user na huwag paganahin ang DLNA kung ang mahalagang data ay nakaimbak sa device. Inirerekomenda ng Western Digital na sundin ng mga user ang knowledge base na artikulong ito upang i-off ang DLNA “kung ayaw nilang gamitin ang feature ng produkto.”
Sinabi ni Jason Garbis, vice president sa Cyxtera, na tulad ng lahat ng device na naka-attach sa network, kailangang makipag-ugnayan ang mga organisasyon sa kanilang mga team ng seguridad ng impormasyon bago i-deploy ang drive na ito sa kanilang network.
"Ang mga organisasyon sa lahat ng laki ay kailangang gumawa ng mas proactive na diskarte sa seguridad ng network at maglapat ng zero-trust na pilosopiya sa kanilang network. Muli, ang kahinaang ito ay nagpapakita na ang network access sa isang system - kahit na walang mga kredensyal sa pag-log in - ay isang pribilehiyo na dapat pamahalaan. Ang mga network ngayon ay masyadong bukas, na isang ugat ng maraming matagumpay na pag-atake at mga paglabag sa IT," sabi niya.
"Gamit ang wastong configuration, ligtas na magagamit ang device na ito. Dapat ay naka-disable ang feature na DLNA (UPnP), at dapat magkaroon ng network access na pinaghihigpitan lamang sa mga awtorisadong user. Na-deploy sa default na configuration nito, inilalantad ng device na ito ang mga negosyo sa hindi kinakailangang panganib ng paglabag sa data, alinman sa mga malisyosong insider o external attacker."
Sa unang bahagi ng taong ito, nakita ng isa pang security researcher ang napakaraming mga kahinaan, gaya ng preauth remote root code execution, pati na rin ang isang hardcoded backdoor admin account na hindi na mababago. Ang backdoor ay nagbibigay-daan din para sa preauth remote root code execution sa apektadong device. Pinahintulutan ng backdoor ang sinumang mag-log in bilang user mydlinkBRionyg gamit ang password na abc12345cba. Ang Western Digital ay naglabas na ng pag-aayos para sa problemang ito. Ito ay matatagpuan
dito.
