Se ha hecho público un fallo de seguridad en las unidades My Cloud de Western Digital que permite que cualquiera con acceso a la unidad, sea a través de internet o en red local, pueda autentificarse con un usuario hardcoded que permite el acceso shell al dispositivo con privilegios de usuario root. Las credenciales de este usuario «mydlinkBRionyg», con contraseña «abc12345cba», no pueden modificarse.
James Bercegay es el investigador que encontró el problema de seguridad, del que avisó a WD hace ya más de 6 meses. Pasado este plazo de tiempo sin que WD haya sacado parche de seguridad para los equipos afectados, ha hecho pública la información sobre el backdoor así como código de ejemplo sobre como aprovechar la vulnerabilidad.
Los usuarios que solo utilicen sus unidades My Cloud en redes locales tampoco están a salvo, puesto que la simple visita de una página web comprometida puede hacer que mediante iFrame y host names predecibles (los que usan las unidades NAS de WD por defecto) se consiga acceso a un My Cloud en red que no disponga de acceso desde el exterior de la red, por lo que la única solución hasta que WD saque una actualización para solucionar el problema es dejar de usar estas unidades.
Los modelos afectados son las siguientes:
- My Cloud Gen 2
- My Cloud EX2
- My Cloud EX2 Ultra
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100