SIKKERHET

Populære NAS-er leveres med hardkodet bakdør

Wester Digital My Cloud.
Wester Digital My Cloud. Western Digital
8. jan. 2018 - 09:46

En rekke nettverksdisker – NAS-er – fra Western Digital har et alvorlig sikkerhetshull som gjør det mulig for uvedkommende å få full tilgang til enhetene. Det skriver The Register.

Det er flere ulike NAS-er av typen Western Digital My Cloud som skal være berørt av sikkerhetshullet, som utrolig nok er en hardkodet bakdør som gjør det mulig for hvem som helst å logge inn på enheten med administratorrettigheter med brukernavnet mydlinkBRionyg og passordet abc12345cba.

WD My Cloud-produktene er rettet mot privatpersoner og småbedrifter, og inneholder opptil fire harddisker. Noen av enhetene som er berørt har lagringskapasitet på opptil 40 TB, ifølge The Register.  

Deler kode – og bakdør – med D-Link-NAS

Det er sikkerhetseksperten James Bercegay som oppdaget feilen, som du kan lese mer om her.

Bercegay skriver i sin rapport at han syntes det var merkelig at brukernavnet for bakdøren inneholder tekststrengen «dlink», og at han begynte å undersøke dette. Det viser seg at en annen NAS, D-Link DNS-320L, har den samme bakdøren – og antagelig deler mye av koden med de berørte WD-enhetene. D-Link har imidlertid tettet dette sikkerhetshullet allerede i juli 2014.

«Det er interessant å tenke på at før D-Link oppdaterte sin programvare, så var to av de mest populære NAS-familiene i verden, solgt av to av de mest populære teknologiselskapene i verden, begge sårbare samtidig – med den samme bakdøren», skriver Bercegay. 

Sikkerhetshullet kan tettes ved å installere fastvareversjon 2.30.174 fra Western Digital.

Disse enhetene er berørt:

  • MyCloud
  • MyCloudMirror
  • My Cloud Gen 2
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Mange av enhetene er fortsatt i salg i Norge, og har du kjøpt en av dem oppfordrer vi til å sjekke om du har siste fastvareversjon.

Les også: D-Link beskyldes for elendig sikkerhet »

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra