Vài ngày trước vừa có thông tin về các ổ cứng My Cloud của Western Digital có để “cổng hậu“, cho phép bất kỳ ai cũng có thể truy xuất vào dữ liệu của người dùng. Đáng chê trách hơn khi vấn đề này đã được công ty bảo mật GulfTech báo cho Western Digital từ hồi tháng 6/2017 nhưng mãi đến giữa tháng 11 năm ngoái, hãng mới tung ra bản vá. Không may là bản vá này chưa hoàn toàn giải quyết dứt điểm vấn đề.

Ngoài việc có thể cho phép bất kỳ ai truy xuất vào dữ liệu của người dùng bằng backdoor với tên truy cập mydlinkBRionyg và mật khẩu abc12345cba, các chuyên gia bảo mật của Gulftech còn cho biết các thiết bị My Cloud còn dễ bị chèn câu lệnh, tấn công từ chối dịch vụ và rút trích dữ liệu v.v… Nói một cách đơn giản, người dùng vẫn rủi ro rò rỉ dữ liệu cá nhân ngay cả khi đã cập nhật bản vá hồi tháng 11/2017.

Mới đây, sau phản hồi từ phía các chuyên gia bảo mật của Gulftech, Western Digital đã chính thức đưa ra khuyến cáo người dùng ổ cứng My Cloud nên vô hiệu hóa tính năng truy xuất vào Dashboard Cloud Access và tắt bất kỳ chuyển tiếp cổng (Port Forward) nào. Hãng cho biết sẽ có một bản cập nhật mới để giải quyết trường hợp tin tặc có thể khai thác dữ liệu trên ổ thông qua mạng nội bộ của người dùng, hoặc trong trường hợp bạn đã bật một số thiết lập My Cloud.

Tính năng Dashboard Cloud Access có thể tìm thấy trong mục Settings -> General -> Cloud Access của giao diện truy xuất vào My Cloud. Riêng tính năng Port Forward thì như khuyến cáo của Western Digital là bạn phải vô hiệu hóa cả trên thiết bị My Cloud lẫn trên router/modem router đang sử dụng. Người dùng có thể truy xuất tính năng Port Forward của thiết bị My Cloud tại mục Settings -> Network -> Port Forwarding. Tính năng này của dòng sản phẩm My Cloud chỉ có thể sử dụng nếu router mà thết bị kết nối vào có hỗ trợ uPnP.

Nếu bạn không biết thì My Cloud là dòng ổ cứng lưu trữ có khả năng kết nối vào hệ thống mạng của Western Digital, cho phép người dùng có thể lưu trữ và truy xuất dữ liệu thông qua giao diện web. Các thiết bị này được thiết kế cho gia đình và văn phòng cỡ nhỏ do tính tiện dụng của nó trong việc chia sẻ file giữa một nhóm người sử dụng. Hiện chưa rõ khi nào thì mới có bản vá, nhưng với cách làm việc “nửa năm” như bản vá ban đầu thì có khi người dùng sẽ phải chờ một thời gian kha khá.

Dưới đây là danh sách các dòng sản phẩm My Cloud có tính năng truy cập Dashboard Cloud và cần cập nhật bản vá lỗi tháng 11/2017 từ Western Digital. Tuy nhiên như thế vẫn chưa đủ, bạn còn cần vô hiệu hóa khả năng truy xuất vào Dashboard Cloud và tắt port forward trong khi chờ bản vá lỗi mới từ hãng để giải quyết rốt ráo vấn đề.

• My Cloud EX2
• My Cloud EX4
• My Cloud EX2100
• My Cloud EX4100
• My Cloud EX2 Ultra
• My Cloud DL2100
• My Cloud DL4100
• My Cloud PR2100
• My Cloud PR4100
• My Cloud Mirror
• My Cloud Mirror Gen 2

Theo The Verge

Thời gian gần đây, nhiều vấn đề bảo mật liên tục xảy ra đe dọa đến dữ liệu và rò rỉ dữ liệu nhạy cảm của người dùng hết sức nguy hiểm. Mới đây một “nạn nhân mới” đã xuất hiện, đó là các dòng sản phẩm My Cloud của hãng ổ cứng số một thế giới Western Digital, và nó cực kỳ nghiêm trọng. Bạn nên lập tức ngừng sử dụng ngay các sản phẩm bị ảnh hưởng này để tránh rủi ro nếu chưa cập nhật firmware vá lỗi.

Theo một báo cáo bảo mật vừa được công khai gần đây cho thấy rất nhiều ổ cứng Western Digital My Cloud NAS được gắn đoạn mã backdoor trong firmware, có nghĩa là bất kỳ ai cũng có thể truy xuất vào chúng. Vấn đề ở chỗ, chúng cực kỳ dễ bị lợi dụng truy xuất trái phép với tên truy cập mydlinkBRionyg và mật khẩu abc12345cba. Toàn bộ thông tin về vấn đề này đã được thông báo đến Western Digital từ sáu tháng trước nhưng hãng vẫn chần chừ không có động thái gì một cách khó hiểu cho đến tận tháng 11/2017. Điều này hết sức nguy hiểm vì người dùng thường không có thói quen cập nhật mọi bản vá bảo mật cho các thiết bị của mình, và có lẽ cũng chẳng ai nghĩ rằng thiết bị của họ lại dính backdoor do sự cẩu thả của nhà sản xuất như thế cả.

Theo James Bercegay, chuyên gia bảo mật của GulfTech Research and Development cho biết việc khai thác “lỗi” này để lấy quyền truy cập từ xa rất dễ. Kẻ tấn công chỉ cần gửi một yêu cầu tải lên file sử dụng tham số Filedata[0], là vị trí thư mục mà tập tin được tải lên được xác định trong tham số “folder”, kèm với một header Host giả mạo. Chính vì vậy nó rất dễ khai thác và cực kỳ nguy hiểm. Chưa kể, người dùng khóa thiết bị chỉ cho truy cập thông qua môi trường mạng LAN cũng không an toàn. Vì kẻ tấn công có thể chiếm quyền điều khiển WDMyCloud của bạn bằng cách lừa bạn truy cập vào một trang web nào đó có chứa đoạn code được nhúng trong khung iframe để gởi yêu cầu truy xuất đến thiết bị chưa cập nhật bản vá, và chỉ bằng sử dụng hostname mặc định dễ đoán của thiết bị My Cloud đó như wdmycloud hay wdmycloudmirror v.v…

Câu hỏi đặt ra là tại sao một dòng sản phẩm khá thông dụng của Western Digital lại chứa backdoor có liên quan đến dlink như trong tên truy cập nói trên? Các nhà nghiên cứu đã phát hiện ra mối liên quan này, đó là các dòng sản phẩm WD NAS trước đây từng chia sẻ đoạn mã với các thiết bị Sharecenter của D-Link. Tuy nhiên, D-Link đã tung bản vá firmware cho các sản phẩm của họ từ năm 2014 và gỡ bỏ backdoor ra từ lâu thì Western Digital vẫn không hay biết gì. Thậm chí, theo báo cáo của các nhà nghiên cứu thì thông tin về vấn đề này đã được chuyển đến cho Western Digital từ giữa tháng 6/2017 và cho hãng thời hạn 90 ngày khắc phục nhưng mãi đến tháng 11/2017 họ mới tung ra bản vá.

Nếu bạn không chắc thiết bị My Cloud Storage của mình có bị ảnh hưởng hay không, hãy kiểm tra danh sách bên dưới.

MyCloud
MyCloudMirror
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

Nếu thiết bị bạn đang sử dụng có trong danh sách này, lập tức rút kết nối của nó ra khỏi hệ thống mạng ngay và kiểm tra lại firmware. Nếu firmware 2.30.172 trở lên tức là nó đã được vá lỗi, còn nếu chưa hãy sử dụng phần mềm quản lý đi kèm để cập nhật bản vá ngay trước khi tiếp tục sử dụng. Bạn cần biết một điều là thậm chí nếu bạn đã cập nhật firmware mới vào tháng 11/2017, thì có khả năng dữ liệu của bạn trong đó đã bị ai đó truy xuất từ nhiều năm về trước mà không hề hay biết rồi.

Theo Betanews