Western DigitalのNAS「My Cloud」にバックドアが存在し誰でも内部にアクセス可能だったことが判明

by Cheon Fong Liew

Western Digitalのパーソナルクラウドストレージ端末「My Cloud」に、ハードコードされたバックドアが存在し、認証を突破すれば誰でもストレージ内部にアクセス可能な状態だったことが判明しました。

WDMyCloud <= 2.30.165 Multiple Vulnerabilities
http://gulftech.org/advisories/WDMyCloud Multiple Vulnerabilities/125

Western Digital 'My Cloud' devices have a hardcoded backdoor -- stop using these NAS drives NOW!
https://betanews.com/2018/01/07/western-digital-mycloud-backdoor/

脆弱性を指摘したのはITセキュリティ企業であるGulftech Research and DevelopmentのJames Bercegay氏。

当初、Bercegay氏はMy Cloudに潜む、無制限にファイルをアップロードできるという脆弱性の調査を行っていました。この脆弱性は、PHPでIPアドレスからホスト名を取得する関数「gethostbyaddr」の誤用・誤解が原因であることがわかりました。

Bercegay氏はウェブインターフェースからアクセス可能なCGIのバイナリを深く調べることを決めて、さらなる調査を進め、バックドアの存在に気付きました。このバックドアは、ユーザー名とパスワードが固定で設定されている「古典的」なもので、管理者ユーザーに設定されているため、最悪、iframeタグやimgタグを読み込ませてCGIを実行させるだけでMy Cloudの中身をすべて消去することすら可能です。

他にも複数の脆弱性が見つかり、Bercegay氏は2017年6月10日にWestern Digitalに公式サイトのフォームを利用して連絡。サポート担当者とのやりとりを経て、2017年6月16日に、90日間は情報開示を待って欲しいという連絡がWestern Digitalから届きました。Bercegay氏は期間が過ぎても情報を開示しませんでしたが、2017年12月15日に、Bercegay氏とは別個に脆弱性にたどり着いたExploitees.rsのZenofex氏が情報を公開。2018年に入って、Bercegay氏も情報を開示しました。

Western Digital MyCloud - Exploitee.rs
https://www.exploitee.rs/index.php/Western_Digital_MyCloud

対象となる端末は
・MyCloud
・MyCloudMirror
・My Cloud Gen 2
・My Cloud PR2100
・My Cloud PR4100
・My Cloud EX2 Ultra
・My Cloud EX2
・My Cloud EX4
・My Cloud EX2100
・My Cloud EX4100
・My Cloud DL2100
・My Cloud DL4100
で、脆弱性に対応したファームウェア「MyCloud 2.30.174」が2017年11月に公開されています。また、バージョンが「MyCloud 04.x」のシリーズにも脆弱性はないとのことです。