Western Digitalのパーソナルクラウドにパスワード回避の欠陥

人気のクラウドストレージドライブに脆弱性が見つかったことをセキュリティー研究者が公表した。メーカーは一年以上セキュリティーパッチを発行していない。

Remco Vermeulenは、Western DigitalのMy Cloudデバイスに権限昇格バグがあることを発見した。アタッカーはドライブの管理者パスワードを回避してユーザーデータの「完全制御」を得ることができる。

この欠陥は、ドライブのウェブベースのダッシュボードがユーザー認証を適切に行わず、本来高いレベルの権限が必要なツールへのアクセスをアタッカーに与えるために発生する。

バグは「容易に」利用できる、とVermerlenはメールでTechCrunchに語った。My Cloudデバイスがインターネット経由のリモートアクセスを許可していれば、遠隔地からも侵入可能になる——数万台のデバイスが許可している。彼はこの脆弱性利用の概念実証ビデオをTwitterで公開した。

バグの詳細は、別のセキュリティーチームも別途発見しており、独自の侵入コードを公開している。

Vermerlenはこのバグを1年以上前の2017年4月に報告したが、会社は応答を中止したという。一般に、セキュリティー研究者は90日間の回答猶予期間を企業に与えており、これは業界で受け入れられている「責任ある公開ガイドライン」に沿っている。

彼は、WDがその後My Cloudのファームウェアをアップデートした際、彼の見つけた脆弱性が修正されていないことを知り、問題の公開に踏み切った。

一年後も、WDはまだパッチを発行していない。

同社はこの脆弱性を認識していることを認めたが、なぜ修正に一年以上かかったかについては語っていない。「現在、報告された問題を解決するファームウェアアップデートの日程調整を行っている」と広報担当者は言った。時期は「数週間以内」になるという。

WDは、同社のMy Cloud製品のうち、EX2、EX4、およびMirrorには脆弱性があるが、My Cloud Homeにはないと言っている。

現時点で修正方法は存在せず、ユーザーがデータの安全を確保したければ「ネットワークから切り離す」以外に方法はない。

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。