Los propietarios de servidores NAS WD My Cloud deben tener muchísimo cuidado a la hora de utilizados. Actualmente todos los modelos del fabricante WD que pertenecen a la familia My Cloud tienen graves fallos de seguridad, estas vulnerabilidades han sido descubiertas por un grupo de investigadores de seguridad y WD aún no ha solucionado estos problemas, por lo que eres vulnerable.

¿Qué vulnerabilidad se ha descubierto?

Un grupo de investigadores de seguridad de Exploitee.rs han descubierto varias vulnerabilidades críticas en el sistema operativo, esta vulnerabilidad afecta a todos los WD My Cloud que hay actualmente en el mercado. El equipo de investigadores ha utilizado un NAS WD My Cloud PR4100 como banco de pruebas, y han descubierto que es posible obtener acceso no autorizado de forma remota. Esto significa que si nuestro NAS es accesible desde Internet, cualquier usuario malintencionado podría acceder a nuestros archivos de manera ilegítima, copiarlos, borrarlos, editarlos e incluso también hacerse con el control del propio servidor NAS.

WD parcheó el sistema operativo de estos NAS My Cloud a raíz de la investigación de Exploitee.rs, sin embargo, al solucionarlos introdujeron una nueva vulnerabilidad con las mismas consecuencias que la que ya habían solucionado.

Otras vulnerabilidades muy graves presentes en todos los sistemas NAS es la inyección de comandos con privilegios de root, esta inyección de comandos se realiza directamente a través del servidor web que está funcionando con privilegios de superusuario, y en caso de que algún comando pidiera autenticación, podremos utilizar el bug anteriormente mencionado de acceso no autorizado para explotarlo.

Todos los servidores NAS de Western Digital afectados: WD no ha estado a la altura

Las vulnerabilidades que han descubierto en Exploitee.rs afectan a todos los modelos de productos de la gama My Cloud de Western Digital, a continuación tenéis el listado completo proporcionado por estos investigadores.

• My Cloud
• My Cloud Gen 2
• My Cloud Mirror
• My Cloud PR2100
• My Cloud PR4100
• My Cloud EX2 Ultra
• My Cloud EX2
• My Cloud EX4
• My Cloud EX2100
• My Cloud EX4100
• My Cloud DL2100
• My Cloud DL4100

Es especialmente grave que los NAS orientados a usuarios profesionales y empresas, también tengan estos fallos de seguridad tan graves, y es que en el ámbito profesional se debe extremar las precauciones y las medidas de seguridad para evitar filtraciones de datos, en este caso WD no ha estado a la altura de lo que se espera de la marca.

El equipo que ha descubierto estos fallos de seguridad tan graves, ha declarad que normalmente contactan siempre con el fabricante para que solucionen los problemas, antes de hacerlo público por supuesto, con el objetivo de proteger a los usuarios de dichos dispositivos vulnerables. Sin embargo, en este caso han decidido tomar medidas drásticas y publicar toda la información técnica directamente, ya que según el equipo de investigadores, WD tiene una muy mala reputación en la comunidad ya que ignoran bugs de gran importancia.

¿Qué debo hacer si tengo un servidor NAS WD My Cloud?

Actualmente la recomendación que os podemos hacer es que apaguéis completamente el servidor NAS, y si necesitáis usarlo, que sea solo de manera local, por lo que no debéis abrir ningún puerto para su gestión remota a través de Internet ni para acceder a él. Lo mejor que podéis hacer es aislarlo por completo hasta que WD lance una actualización que solucione todos estos fallos de seguridad encontrados.

WD es el peor fabricante a la hora de corregir bugs, según la comunidad

Teniendo en cuenta toda la información que han publicado, está claro que el fabricante WD no ha estado a la altura, de hecho, han ganado un premio al fabricante que peor respuesta da ante un fallo de seguridad reportado. Este premio lo ganaron en la última BlackHat celebrada en Las Vegas, y es que parece ser que ignoran sistemáticamente todos los bugs repotados por investigadores de seguridad, e incluso aunque el fallo de seguridad sea público tampoco hacen caso, poniendo a sus usuarios en grave peligro.

Os recomendamos visitar el blog de exploitee.rs donde encontraréis todos los detalles sobre las vulnerabilidades encontradas. También podéis acceder a esta Wiki donde tenéis todos los fallos de seguridad que su equipo de desarrollo ha encontrado en el sistema operativo de los WD My Cloud.