В выпускаемых компанией Western Digital сетевых хранилищах My Cloud (https://www.wdc.com/products/personal-cloud-storage/my-cloud...) выявлена уязвимость (https://www.securify.nl/advisory/SFY20180102/authentication-...) (CVE-2018-17153), позволяющая получить доступ к хранимым данным без прохождения аутентификации.Для входа в web-интерфейс устройства достаточно было отправить запрос к скрипту /cgi-bin/network_mgr.cgi, установив Cookie "username=admin", и система предоставляла доступ с правами администратора не запрашивая пароль входа. Для генерации сессионного ключа для продолжения сеанса и обращения к другим скриптам с правами администратора можно отправить POST-запрос "cmd=cgi_get_ipv6&flag=1". Успешная атака позволяет полностью контролировать настройки устройства, а также читать, модифицировать и удалять любые данные в хранилище.
Компания Western Digital была информирована о проблеме ещё в апреле, но до сих пор не выпустила обновления. После пяти месяцев ожидания исследователь счёл возможным раскрыть сведения о выявленной уязвимости. Пользователям рекомендуется ограничить доступ к web-интерфейсу MyCloud только для заслуживающих доверие адресов.
URL: https://www.securify.nl/advisory/SFY20180102/authentication-...
Новость: https://www.opennet.me/opennews/art.shtml?num=49307
Ограничил с того момента как поключил в сеть. Но всё равно стыдоба, за пол года так и не пофиксили.
почти два года
Дык хороший был бэкдур... нужный =) Как же его фиксить то ?
А причем здесь линукс? Эти парни даже поддержку Linux в своем ПО не декларируют, позор какой-то.
а ты думал, мы на винде что-ли это сделали? Или, может, свою ртос запилили?ага, щасс...
>А причем здесь линукс?Действительно: причём? Вроде никто не упоминал.
понимаете, того китайца что этот код наляпал под видом теста на собеседовании, сцапала immigration, нанятая вместо него в порядке diversity и поддержке меньшинств мексиканская трансвеститка не поняла письма (оно вообще по-английски не понимает) а я такими мелочами не могу заниматься - да и не соображаю в них ничего. Искренне ваш, Кумар Нacpал
Уже вторая дыра в WD Cloud о которой я слышу за этот год. Причём настолько глупая, что страшно представить кто ЭТО разрабатывает.
Хотя, если глубже копнуть подобные продукты (которые в сеть выходят), то там этих дыр будет выше крыши, ибо всем плевать. И при этом кто-то умудряется всерьёз говорить про IoT.
>там этих дыр будет выше крыши, ибо всем плевать.Правильно, всем плевать. Кроме параноиков, на которых, впрочем, тоже всем плевать.
>>там этих дыр будет выше крыши, ибо всем плевать.
> Правильно, всем плевать. Пока хомячки продолжают нести бабло и безотказно жрать с лопаты, нахваливая и потрясая кулачками на недовольных критиков.fixed
> дыр будет выше крышиВы про новую коллекцию фоток, а-ля утекшую с icloud?
ммм... ты уверен что если я сейчас сканером нашарю твой недоклауд и просто для прикола его отформатирую - ты не расстроишься, совсем?весь смысл этого оверпрайсед внешнего дерьмодиска именно в том, что он торчит в инет - иначе бы он стоил вдвое дешевле.
Не ожидал такого от WD. С другой стороны, за домашним NAT эта уязвимость не страшна.
1. У вас wifi по макам и с ent авторизацией? :)
2. Вы в броаузере на телефоне через wifi случайно страницы непонятных владельцев не открываете?
Да, по макам. Нет, не открываю.
Поправьте, если ошибаюсь, но вифи по макам такая же бесполезная штука, как и скрытие ssid. Один хрен все маки и ssid видно в эфире, так что злоумышленник просто склонирует мак.
Да, так и есть.
Зачем нужны эти маки? Почему они не меняются? От этих маков у меня дом на карте определяют любые карты без GPS.
NAT != Firewall. Нат легко пробивается и от внешних подключений не защищает.
ожидал именно такого от wd - они ничерта не понимают ни в линуксах, ни в вебне, ни в безопасности. Да и диски у них, откровенно-то говоря...домашний нат не поможет - там весь смысл что это такой owncloud, только самому ничего делать не надо, нажал-работает. Соответственно, он должен быть доступен не только из дома, а и с мобилы на работе или с wifi в Тае.
>Да и дискинормальные диски, если сравнивать с альтернативами типо сигейта
https://www.backblaze.com/blog/hard-drive-stats-for-q1-2018/
(второй сами ищите, где-то он был)и это, учтите - "холодные" диски для оффсайт-хранилки. С быстрыми и горячими у wd все стабильно плохо с первых рапторов.
Из 662 (437+45+180) ВДшек помер 1.Пох ты когда поумнеешь?
У меня дома ещё ни один WD не помер, по привычке меняю раз в 3 года, старый не выключаю. До сих пор крутятся и 7 летний и 4 летний. Круглосуточно, под майнингом hdd-коинов ;)
> Из 662 (437+45+180) ВДшек помер 1.из _всего_ 662 _недавно_ установленных wd'шек, используемых в идеальных условиях - стабильное питание, охлаждение, правильно собранный корпус, на который не прыгает кошка со шкафа - одна уже сдохла. Новые модели еще слишком мало отработали, поэтому пока в статистику не попали.
из 16 тысяч сигейтов конкретной модели (не энтерпрайзной) - сдохло аж 32, но опеннетовские дятлы продолжают тупо долбить "сигейт плохой".
а теперь смотрим сюда (ты ведь даже не докрутил страницу до этой картинки?):
https://www.backblaze.com/blog/wp-content/uploads/2018/05/bl...
и внезапно оказывается, что самые старые wdшки просто массово попередохли раньше, и в нынешней статистике не светятся именно потому, что уже лежат в мусорке. Причем с совершенно безумным failure rate в сравнении с теми же сигейтами. И это ведь "золотые" версии, а не "зеленый" трэш.> У меня дома ещё ни один WD не помер
держи нас в курсе, ага.
>из 16 тысяч сигейтов сдохло аж 32поставь 16 тысяч WDшек, тогда это будет вменяемое сравнение.
>держи нас в курсе, ага.
Речь не про дом была, а про могучий ынтырпрайз на SATA? Я таких серверов уже много лет не видел.
Что там у них за условия в серверных тоже могу представить...
Почему я не удивлен. Вот что мешало им взять готовый открытый дистрибутив для NAS и подогнать под свое железо. Обязательно надо клепать свое а потом экономить на поддержке. Самое забавное, что слепить свой NAS-дистр дороже чем взять готоый.
Тогда бы был доступ к потрохам системы и их обёртке сломали бы ещё быстрей, а у них там и доступ с телефона и dyndns или как его там...
Там было бы раз в сто меньше их кода и, соответственно, ошибок
без разницы какой код если они прошивки будут обновлять по году, после того как в исходном проекте все уже пофиксили
будут общеизвестные ошибки в не их коде - который они и поправить-то не смогут.а учитывая как они умеют обновлять прошивки и как юзвери жаждут этим вообще заниматься - результат немного предсказуем.
> будут общеизвестные ошибки в не их коде - который они и поправить-то не смогут.Так они и так не правят.
Зато смогут пользователи.
не смогут. Даже если wd вдруг соблюдет все политесы и честно выложит исх...ссылки на гитхаб, откуда их и взяли. Прошивка, даже если и нешифрованная - блоб, формат неизвестен, механизм работы загрузчика неизвестен, devicetree или что у них там от этой платы у тебя нет, а поскольку это вот все и является их единственным know-how, а остальное китайские детали - то вот это они обнародовать никогда не согласятся, тем более что никакая gpl и не требует такого.поэтому использование опенсорсного барахла взамен барахла от длинка или еще каких китайцев - никаких дивидендов wd не принесет, а геморрой внезапно может и обеспечить.
> не смогут. Даже если wd вдруг соблюдет все политесы и честно выложит
> исх...ссылки на гитхаб, откуда их и взяли. Прошивка, даже если и
> нешифрованная - блоб, формат неизвестен, механизм работы загрузчика неизвестен, devicetree
> или что у них там от этой платы у тебя нет,
> а поскольку это вот все и является их единственным know-how, а
> остальное китайские детали - то вот это они обнародовать никогда не
> согласятся, тем более что никакая gpl и не требует такого.
> поэтому использование опенсорсного барахла взамен барахла от длинка или еще каких китайцев
> - никаких дивидендов wd не принесет, а геморрой внезапно может и
> обеспечить.Чушь-то какая. Нет там никакого ноу-хау, прочто WD один из немногих оставшихся производителей винтов, вот и всё хау.
понимаешь в чем дело - дядя Ляо у себя в подвале тоже умеет запихать диск с той же самой тайваньской фабрички (тоже купленный отнюдь не по розничным ценам) в точно такой же пластмассовый корпус.и если, не дай MS, он осилит собрать у себя такой вот аналог "wd cloud" (на самом деле, как мы все понимаем, нужен просто хост с белым ip, куда хомячковые насы будут коннектиться, пробивая дырку в нате) и скопипастить те самые кривые скрипты - у wd может накрыться приятный ненапряжный бизнес, по продаже дисков и дрянной платки на a20 вдвое дороже чем они стоят.
wd этого не хочет, а хочет протянуть подольше. Поэтому будет вот такая (китайская же) самосборка и блобы вместо открытых прошивок.
Тогда дядя Ляо придет не за ними, а за теми, от кого можно откусить кусок пожирнее и без гвоздиков внутри.
Так - они тоже умеют. Выживают те, кто попадает в дырку между действительно стоящими продуктами и такой дрянью, что каждый ляо у себя в подвале испечет.
> и если, не дай MS, он осилит собрать у себя такой вот
> аналог "wd cloud" (на самом деле, как мы все понимаем, нужен
> просто хост с белым ip, куда хомячковые насы будут коннектиться, пробивая
> дырку в нате) и скопипастить те самые кривые скрипты - у
> wd может накрыться приятный ненапряжный бизнес, по продаже дисков и дрянной
> платки на a20 вдвое дороже чем они стоят.А он осилит вне зависимости от того, использовал WD общедоступные исходники или нет — исходники-то общедоступные.
Вот чего он не сможет скопипастить, так это торговую марку, сеть сервисных центров и договора с крупным ритейлом.
Так что кончай бредить, бизнес WD без опасносте.
> А он осилит вне зависимости от того, использовал WD общедоступные исходники или нетему окажется дороже, чем просто копипастить - поэтому до сих пор и ниасилил.
> Вот чего он не сможет скопипастить, так это торговую марку, сеть сервисных центров и договора
> с крупным ритейлом.лолшта? Торговая марка уже даже "native americans" последние тридцать лет не колебет, они привыкли что все делается в китае. сервисные центры, этой хни, ты о чем ваще? Нормальный человек в нормальной стране не будет общаться с сервис-центром, это делают в исключительных случаях, а отправит коробку обратно в магазин - и ему там с извинениями вернут бабки или поменяют на другую, необязательно с тем же лейблом.
"Крупные ритейлы" завалены под потолок китайским мусором, поди еще доройся там до этой wd.но есть нюанс - китайский мусор - это просто внешние hdd. уже внешний китайский nas - штука крайне редкая и дорогая (потому что редкая, и потому что незачем продавать сильно дешевле сигейтовского), а китайских хомеклаудов я что-то пока и не припомню.
Причем если битва начнется за кусок пожирнее, не с такой прибылью на грани факапа - тут китайца подсуетится всерьез, см вполне успешную копипасту китайцами пресловутой идеи gopro - скопипащена не только технология, но и вектор бизнеса (в сторону "экосистемы" а не продажи технического изделия). закрытость тут не помогла ;-)
Ага, атм все еще печальнее. при инициации этого чуда надо регистрировать учетную запись у WD и привязывать NAS к ней. Посл этого шарить по NASу можно будет через сайт WD, что лично у меня вызывает оторопь
ну типа dynds на халяву штука ненадежная, а как еще прикажете обеспечить доступ к хомячковым клаудам за тройным натом с динамическим пулом адресов?
Так у них там debian же. Когда и кто его закрыл?
> Вот что мешало им взять готовый открытый дистрибутив для NASкроили, готовый нас не взлетит
In short:
CPU: Marvell Armada A375 (2 cores, 1GHz each, armhf, ARMv7l, Cortex A9, vfp, neon)
RAM: 512 MB
ROM: 256MB Nand flash (bootloader, kernel, ramdisk, OS, Recovery, Configs)
HDD: WD Red, Ext3/4 file systems.
OS: Custom build system, based on Busybox (all-in-one binary, used most in routers). Seems like Marvell SDK with minimum changes (And too many “workaround” and full of s**t)
https://community.wd.com/t/my-cloud-specifications/181602
> кроили, готовый нас не взлетитдва ядра, полгига, куда больше то? Я хренею с ваших "готовых nas" в этом случае.
Мда... это при том, что железо-то у них отменное.
Кстати, народ, кто у теме - а есть вообще одноплатники с более чем одним SATA? Ну, типа как те, что на Allwinner A10/A20 делают, только с 2 или более SATA? Про x86 mini-ITX я в курсе, есличо.
судя по схеме А20 - у них один SATA. остальные диски по USB надо подключать. И вообще то А20 уже старье 32битное - для NAS лучше больше
http://gnubee.org/
https://kobol.io/helios4/
А у меня есть сомнение, что WD вообще сами выпустили этот накопитель, а не перемаркировали D-Link со всеми их багами внутри.
дельное замечание, наблюдал такое с поделкой от Samsung. распаковал обновление их прошивки и много-много смеялся и плакал над говнокодом веб-интерфейса
и вот по этой причине длинк последние прошивки - шифрует. Чтоб не ржали, поганцы!
"
Не прячьте ваши данные по банкам и углам...
Несите ваши данные к нам в облако..."
Ох, вся эта тема WD My Cloud - сплошной позор. Мало того, что там уязвимости постонно находят, ак их последние продукты этой линейки - откровенная дичь, совместимые только с Windows или Android. Причем если раньше они хоть как-то, неявно, использовали нормальные стандартные решения (ssh хотя бы, NFS можно было включить вроде), то в последних все, ничего нет! Тлько проприетарный протокол реализованный в паре фирменных аппликух и все. Все остальное было объявлено устаревшим и ненужным.
Сам присматривал одно время устройство этой серии, как почитао обзоры - бросил затею.
ну, типа, этот ваш ссхе нам непонятен, а этот ваше нефесе его ж ломают регулярно, а мы прошивки обновлять толком не научились (а кирпичеры массово понесут свои кирпичи обратно в walmart, в котором их взяли, и мы попадем на бабки, это вам не РФ)
Мы и подумали, что если накорябаем "приложение", никто не догадается, как его можно поломать. И вот, опять :-(
Ага, особенно смешно будет когда через Х лет они забьют обновлять этот свой левый "драйвер" для Виндоус и приложение для Андроида. И все, на помойку.И это считается нормальным!!!
> Ага, особенно смешно будет когда через Х лет они забьют обновлять этот свой левый "драйвер" для Виндоус и приложение для Андроида. И все, на помойку.Новость там, наверху страницы, читали? Они, походу, забили на этот свой софт ещё в процессе его написания.
> их последние продукты этой линейки - откровенная дичь, совместимые только с Windows или Android.Сйчас существуют WD My Cloud (AKA Ex2/4) и WD My Cloud HOME. Под первое портирован дебиан и там, если снести сабжевый баговитый софт, в общем-то всё хорошо, кроме охлаждения, ресурсов и т.п. А второе - это вот та самая откровенная дичь. Видел жалобы людей, которые не могли получить доступ к своему стораджу, который вот тут вот на столе рядом стоит потому, что РКН подрезал доступ к каким-то там сайтам. WD скатился в какую-то хмурую норкоманию.
>> их последние продукты этой линейки - откровенная дичь, совместимые только с Windows или Android.
> Сйчас существуют WD My Cloud (AKA Ex2/4) и WD My Cloud HOME.
> Под первое портирован дебиан и там, если снести сабжевый баговитый софт,
> в общем-то всё хорошо, кроме охлаждения, ресурсов и т.п. А второе
> - это вот та самая откровенная дичь. Видел жалобы людей, которые
> не могли получить доступ к своему стораджу, который вот тут вот
> на столе рядом стоит потому, что РКН подрезал доступ к каким-то
> там сайтам. WD скатился в какую-то хмурую норкоманию.Я вообще не понимаю почему NAS. который стоит, как вы говорите, вот тут на столе, мало того что необходимо привязывать к стороннему сервису, даром что от производителя, так еще и доступ почему-то осуществляется не напрямую, а с участием производителя.
Как рекламирует это WD? "Вы сможете получить доступ к своему облачку из любой точки мира". ок, то есть NAS держит постоянный контакт с сервисами WD? очередной сервис для жертв NAT-а?
А что насчет людей у которых белый IP? Специально смотрел, там нет кнопки "выключить сервисы WD, рабоатем сами по себе". Хочешь не хочешь - привыкай.
Не знаю как они это своё поделие рекламируют. Возможно, постепенно приучают пользователей к облачным сервисам. Наверняка через пару поколений коробка от WD NAS уже и винчестера-то содержать не будет. Пользователю так проще и надёжнее.
>уязвимость в WD MyCloudшо, опять?
Не удивлюсь, если опять тайваньский OEM, делающий популярные говнорутеры, замешан.
мы не виноваты, мы у себя еще пол-года назад поправили!
зачем вообще было писать такое, чтобы потом поправлять??
>cookie "username=admin"haha, classic
Охеренный бэкдорчик. Это настолько тупо, что даже банальной ошибкой или раззвездяйством быть не может.Что же до вообще - хомячки, вывесившие это в инет - ссзб. Сторейдж в клауд и открытую сеть смотреть не должен вообще. Клауд сторейдж - вообще зло злобное, только для пошарить фоточки подружкам, и то только те, которые не жалко во всеувиденье вывесить. Для всего остального - только локальный доступ.
