読者です 読者をやめる 読者になる 読者になる

WDの「My Cloud」シリーズNASに特大の脆弱性

security

Western Digitalは「My Cloud」という名前を2種類の意味で使っています。

このうち後者の製品は、「NASを外からでも手軽に使える」というタイプのものです。

trendy.nikkeibp.co.jp

weekly.ascii.jp

japanese.engadget.com

しかし、この製品(の一部?)に脆弱性が発見されました。

Western DigitalのMyCloud NASをハックする」

https://blog.exploitee.rs/2017/hacking_wd_mycloud/blog.exploitee.rs

記事は英語ですが、PHPが分かる人なら普通に読めると思います。ちょっとびっくりするコードが出てきます。

なお、現在、脆弱性はそのままです。先ほど紹介したリンクから分かるように、このNASは外からアクセスすることが前提なので、脆弱性はそのまま侵入を許す可能性につながります。解決策は……たぶん外からのアクセスを禁止するか、自分でスクリプトを書き換えることでしょうか。

ところで、脆弱性がそのままなのに詳細情報が公開されている件ですが、理由が記事末尾付近の「Responsible Disclosure」に書いてあります。

Exploitee.rsにおいて、私達は通常はベンダーと協力し、脆弱性情報を適切に公開するよう努めています。しかし、前回(2016年)のラスヴェガスでのBlackHatのPwnie Awardsで、私達は(セキュリティ・)コミュニティにおけるベンダーごとの評判を知りました。特に、このベンダー(WD)は、報告を受けたバグの重大さを無視したことで「最悪ベンダー対応賞」を受賞しました。今回のバグ群が無視された場合、「責任ある開示」にはなっても脆弱なデバイスがネット上に長期にわたり残されてしまいます。その代わりに私達はコミュニティに対してこの問題を警告し、利用者が自ら、これらのデバイスがインターネットからアクセスできないよう隔離することに期待しています。そのために私達は全ての調査結果を公開し、パッチの早期公開を促すものです。

なお、文中にあるPwnie Awardsについては下記をどうぞ。確かに2016年の受賞は「WD MyPassword Drive」となっており、説明の冒頭からキツいことが書いてあります。

http://pwnies.com/winners/pwnies.com

脆弱な状態での全公開については、やはり議論はあると思いますが、とにかくWDのNASを使っている方はご注意ください。