Western Digitalのパーソナルクラウドにパスワード回避の欠陥

人気のクラウドストレージドライブに脆弱性が見つかったことをセキュリティー研究者が公表した。メーカーは一年以上セキュリティーパッチを発行していない。

Remco Vermeulenは、Western DigitalのMy Cloudデバイスに権限昇格バグがあることを発見した。アタッカーはドライブの管理者パスワードを回避してユーザーデータの「完全制御」を得ることができる。

この欠陥は、ドライブのウェブベースのダッシュボードがユーザー認証を適切に行わず、本来高いレベルの権限が必要なツールへのアクセスをアタッカーに与えるために発生する。

バグは「容易に」利用できる、とVermerlenはメールでTechCrunchに語った。My Cloudデバイスがインターネット経由のリモートアクセスを許可していれば、遠隔地からも侵入可能になる——数万台のデバイスが許可している。彼はこの脆弱性利用の概念実証ビデオをTwitterで公開した。

バグの詳細は、別のセキュリティーチームも別途発見しており、独自の侵入コードを公開している。

Vermerlenはこのバグを1年以上前の2017年4月に報告したが、会社は応答を中止したという。一般に、セキュリティー研究者は90日間の回答猶予期間を企業に与えており、これは業界で受け入れられている「責任ある公開ガイドライン」に沿っている。

彼は、WDがその後My Cloudのファームウェアをアップデートした際、彼の見つけた脆弱性が修正されていないことを知り、問題の公開に踏み切った。

一年後も、WDはまだパッチを発行していない。

同社はこの脆弱性を認識していることを認めたが、なぜ修正に一年以上かかったかについては語っていない。「現在、報告された問題を解決するファームウェアアップデートの日程調整を行っている」と広報担当者は言った。時期は「数週間以内」になるという。

WDは、同社のMy Cloud製品のうち、EX2、EX4、およびMirrorには脆弱性があるが、My Cloud Homeにはないと言っている。

現時点で修正方法は存在せず、ユーザーがデータの安全を確保したければ「ネットワークから切り離す」以外に方法はない。

[原文へ]

(翻訳:Nob Takahashi / facebook