Los dispositivos Western Digital My Cloud NAS son extremadamente fáciles de hackear
por Jordi Bercial 3Investigadores de seguridad han descubierto una vulnerabilidad que permite esquivar por completo el sistema de autenticación de los Western Digital My Cloud NAS, de forma que se consigue acceso total al dispositivo sin necesidad de ninguna contraseña, solamente una cookie.
Los dispositivos Western Digital My Cloud NAS son unos dispositivos de almacenamiento en red que nos permiten tener todo el almacenamiento centralizado, ya sea en una red doméstica o en una empresarial, pudiéndose usar estos dispositivos para crear copias de seguridad de nuestros datos, o para almacenarlos allí de forma directa.
Lo más grave de este asunto es que esta vulnerabilidad, etiquetada como CVE-2018-17153, fue notificada a Western Digital en abril de 2017, y casi un año y medio después no ha sido parcheada como parece ser habitual que ocurra en estos dispositivos de Western Digital, marca que no parece tomarse muy en serio la seguridad de los usuarios de los My Cloud NAS tras conocer que no es el único fallo notificado sin parchear en estos dispositivos.
Los investigadores han desarrollado un código PoC en el que se muestra que con solo indicarle al NAS que nuestro nombre de usuario es “admin” mediante una cookie nada difícil de crear, podemos esquivar por completo el sistema de autenticación y tener control total sobre el dispositivo, ya sea para ver archivos, modificarlos, o eliminarlos, siempre que conozcamos la dirección IP del NAS para conectarnos a él.
Habrá que esperar a ver si Western Digital se manifiesta al respecto y lanza una actualización que corrija este fallo, que de por si es extremadamente grave y razón suficiente para dejar de utilizar los dispositivos de forma inmediata.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!