Western Digital conoce un exploit de sus HDD externos pero no lo corrige
Parece ser que el fabricante de discos duros Western Digital conoce un exploit que afecta a sus unidades NAS de las serie My Cloud desde hace seis meses… Y todavía no ha hecho nada para remediar este pequeño gran desaguisado, que deja completamente expuestas las unidades de sus clientes que empleen este sistema de nube privada de la compañía.
Que a una compañía le cuelen un backdoor en el firmware de sus componentes, solo puede calificarse de poca seriedad por parte de las personas que debieran estar controlando lo que se pone en dicho firmware y quién lo pone. Al fin y al cabo, los exploits en el firmware no aparecen de la nada, alguien tiene que programarlos ahí. Y siendo un tema tan delicado, alguna persona debiera de estar al tanto de este tipo de cosas para evitar que se produzcan y luego haya motivos para ponerles rojo de vergüenza.
Pero que una compañía se pase seis meses mano sobre mano, vendiendo productos que sabe que están afectados por un exploit, y que no haga absolutamente nada por remediar la situación, extra en la categoría de incompetencia supina. O de peligrosa pasividad, que ahora sabemos que se va a tornar en frenética carrera para intentar corregir el susodicho exploit… que debieran de haber corregido meses atrás (porque tiempo han tenido más que de sobra para hacerlo).
¿Por qué si Western Digital conoce un exploit de sus NAS, no hace nada por corregirlo?
La puerta trasera ha sido publicada por James Bercegay, de GulfTech Research and Development, y fue revelada a Western Digital el 12 de junio de 2017. Sin embargo, dado que han transcurrido más de 6 meses sin que se haya implementado ningún parche o solución, los investigadores divulgaron y publicaron la vulnerabilidad, lo que debería, finalmente, dar el suficiente aliciente a WD a tomar medidas para solucionar el problema. Para empeorar las cosas, no se requiere acción del usuario para permitir que los atacantes aprovechen el exploit, ya que simplemente con visitar sitios web maliciosos puede dejar las unidades abiertas al uso del exploit.
La publicación de un módulo Metasploit para esta misma vulnerabilidad significa que el código está ahora disponible al alcance de cualquiera. Está claro que Western Digital tiene una carrera en sus manos para solucionar este problema en sus NAS. Encima, con toda la alarma generada con el tema de Meltdown y Spectre, estoy convencido que los usuarios de estas soluciones de almacenamiento no se van a andar con chiquitas y van a demandas una solución rápida para el problema.
Los modelos de Western Digital afectados por este exploit son:
- My Cloud Gen 2
- My Cloud EX2
- My Cloud EX2 Ultra
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100