En rekke nettverksdisker – NAS-er – fra Western Digital har et alvorlig sikkerhetshull som gjør det mulig for uvedkommende å få full tilgang til enhetene. Det skriver The Register.
Det er flere ulike NAS-er av typen Western Digital My Cloud som skal være berørt av sikkerhetshullet, som utrolig nok er en hardkodet bakdør som gjør det mulig for hvem som helst å logge inn på enheten med administratorrettigheter med brukernavnet mydlinkBRionyg og passordet abc12345cba.
WD My Cloud-produktene er rettet mot privatpersoner og småbedrifter, og inneholder opptil fire harddisker. Noen av enhetene som er berørt har lagringskapasitet på opptil 40 TB, ifølge The Register.
Deler kode – og bakdør – med D-Link-NAS
Det er sikkerhetseksperten James Bercegay som oppdaget feilen, som du kan lese mer om her.
Bercegay skriver i sin rapport at han syntes det var merkelig at brukernavnet for bakdøren inneholder tekststrengen «dlink», og at han begynte å undersøke dette. Det viser seg at en annen NAS, D-Link DNS-320L, har den samme bakdøren – og antagelig deler mye av koden med de berørte WD-enhetene. D-Link har imidlertid tettet dette sikkerhetshullet allerede i juli 2014.
«Det er interessant å tenke på at før D-Link oppdaterte sin programvare, så var to av de mest populære NAS-familiene i verden, solgt av to av de mest populære teknologiselskapene i verden, begge sårbare samtidig – med den samme bakdøren», skriver Bercegay.
Sikkerhetshullet kan tettes ved å installere fastvareversjon 2.30.174 fra Western Digital.
Disse enhetene er berørt:
- MyCloud
- MyCloudMirror
- My Cloud Gen 2
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
Mange av enhetene er fortsatt i salg i Norge, og har du kjøpt en av dem oppfordrer vi til å sjekke om du har siste fastvareversjon.
Les også: D-Link beskyldes for elendig sikkerhet »
