פירצה מסוג “דלת אחורית” (backdoor) התגלתה בחלק מכונני אחסון הרשת של חברת WD מסוג MyCloud, המאפשרת לכל אדם להתחבר כמנהל לכונני הרשת ולקבל גישה לקבצים של המשתמש.
בניגוד לפרצות אחרות כמו Meltdown ו-Spectre במעבדים, במקרה הזה מדובר ב”דלת אחורית” שהתגלתה בקוד המקורי של כונני הרשת של WD ולא בפרצת אבטחה רגילה. הדלת אחורית התגלתה לפני יותר מחצי שנה על ידי James Bercegay ממחלקת המחקר של חברת GulfTech והועברה ל-WD לתיקון, אבל מאחר שהוא לא ראה כי בוצע תיקון כלשהו הוא העלה את פרטי ה”דלת האחורית” לרשת.
מדובר על שם משתמש וסיסמה שמאפשרים גישה בלתי מוגבלת לכונני הרשת שקודדה באופן מכוון לתוך התוכנה שלהם. על ידי שימוש בשם המשתמש mydlinkBRionyg והסיסמה abc12345cba המשתמש הזר יכול לקבל גישה מלאה לכונן הרשת, כולל הרשאות ניהול דרכן הוא יכול להחדיר קוד מזיק לכוננים עצמם.
הדגמים בעלי הדלת האחורית הם:
- My Cloud Gen 2
- My Cloud EX2
- My Cloud EX2 Ultra
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
העובדה כי קיימת “דלת אחורית” בכונני WD היא בעיה בפני עצמה, כשנשאלת השאלה מי הוסיף את הדלת האחורית ולמה. אך חמורה מכך היא חוסר התגובה של WD בחצי השנה האחרונה מאז מציאת ה”דלת האחורית”. ניתן לשער שחברת WD תצטרך להגיב ולתקן את הפרצה לאחר החשיפה הפומבית שלה.
עדכון (10.1) – מחברת ווסטרן דיגיטל נמסרה תגובה רשמית לפירצת הדלת האחורית, לפניכם תמצית ההודעה:
מ-Western Digital נמסר כי תיקונים לחולשות אבטחה שזוהו במהלך 2017 במוצרי My Cloud כבר תוקנו בעדכון קושחה מספר 2.30.172 שהופץ בשנה שעברה וכי כל תקלה אחרת תתוקן בעדכונים שיגיעו בהמשך. בחברה מציינים כי אותן “תקלות” אליהן תתייחס בעדכוני קושחה שיגיעו בעתיד חושפות דגמי כונני MyCloud מסוימים לאפשרות כי פרצות אבטחה בהם ינוצלו רק במידה שלתוקף ישנה גישה לרשת הביתית של המשתמש.
עוד מוסיפים ב-WD כי תקיפה דומה יכולה להתבצע עבור משתמשים שהפעילו את תכונת Dashboard Cloud Access בכוננים שרכשו או אשר פתחו פורטים להעברת מידע (Port Forwarding). בחברה ממליצים להימנע מהגדרות מסוג זה בראוטר המקושר לכונני החברה. בנוסף, ממליצה החברה להימנע מפתיחת הרשת הביתית לשימוש על-ידי אורחים (חשבון Guest) ומדגישים כי דגם My Cloud Home לא נכלל בין הכוננים שחשופים לפגיעה המצוינת בכתבה מעלה.
עדכונים עתידיים ניתן יהיה להשיג דרך אתר ההורדות של החברה.
