Các dòng ổ cứng My Cloud của Western Digital dính backdoor rất dễ bị kẻ xấu truy xuất dữ liệu ngoài ý muốn cực kỳ nguy hiểm, bạn cần kiểm tra và cập nhật firmware ngay!
Thời gian gần đây, nhiều vấn đề bảo mật liên tục xảy ra đe dọa đến dữ liệu và rò rỉ dữ liệu nhạy cảm của người dùng hết sức nguy hiểm. Mới đây một “nạn nhân mới” đã xuất hiện, đó là các dòng sản phẩm My Cloud của hãng ổ cứng số một thế giới Western Digital, và nó cực kỳ nghiêm trọng. Bạn nên lập tức ngừng sử dụng ngay các sản phẩm bị ảnh hưởng này để tránh rủi ro nếu chưa cập nhật firmware vá lỗi.
Theo một báo cáo bảo mật vừa được công khai gần đây cho thấy rất nhiều ổ cứng Western Digital My Cloud NAS được gắn đoạn mã backdoor trong firmware, có nghĩa là bất kỳ ai cũng có thể truy xuất vào chúng. Vấn đề ở chỗ, chúng cực kỳ dễ bị lợi dụng truy xuất trái phép với tên truy cập mydlinkBRionyg và mật khẩu abc12345cba. Toàn bộ thông tin về vấn đề này đã được thông báo đến Western Digital từ sáu tháng trước nhưng hãng vẫn chần chừ không có động thái gì một cách khó hiểu cho đến tận tháng 11/2017. Điều này hết sức nguy hiểm vì người dùng thường không có thói quen cập nhật mọi bản vá bảo mật cho các thiết bị của mình, và có lẽ cũng chẳng ai nghĩ rằng thiết bị của họ lại dính backdoor do sự cẩu thả của nhà sản xuất như thế cả.
Theo James Bercegay, chuyên gia bảo mật của GulfTech Research and Development cho biết việc khai thác “lỗi” này để lấy quyền truy cập từ xa rất dễ. Kẻ tấn công chỉ cần gửi một yêu cầu tải lên file sử dụng tham số Filedata[0], là vị trí thư mục mà tập tin được tải lên được xác định trong tham số “folder”, kèm với một header Host giả mạo. Chính vì vậy nó rất dễ khai thác và cực kỳ nguy hiểm. Chưa kể, người dùng khóa thiết bị chỉ cho truy cập thông qua môi trường mạng LAN cũng không an toàn. Vì kẻ tấn công có thể chiếm quyền điều khiển WDMyCloud của bạn bằng cách lừa bạn truy cập vào một trang web nào đó có chứa đoạn code được nhúng trong khung iframe để gởi yêu cầu truy xuất đến thiết bị chưa cập nhật bản vá, và chỉ bằng sử dụng hostname mặc định dễ đoán của thiết bị My Cloud đó như wdmycloud hay wdmycloudmirror v.v…
Câu hỏi đặt ra là tại sao một dòng sản phẩm khá thông dụng của Western Digital lại chứa backdoor có liên quan đến dlink như trong tên truy cập nói trên? Các nhà nghiên cứu đã phát hiện ra mối liên quan này, đó là các dòng sản phẩm WD NAS trước đây từng chia sẻ đoạn mã với các thiết bị Sharecenter của D-Link. Tuy nhiên, D-Link đã tung bản vá firmware cho các sản phẩm của họ từ năm 2014 và gỡ bỏ backdoor ra từ lâu thì Western Digital vẫn không hay biết gì. Thậm chí, theo báo cáo của các nhà nghiên cứu thì thông tin về vấn đề này đã được chuyển đến cho Western Digital từ giữa tháng 6/2017 và cho hãng thời hạn 90 ngày khắc phục nhưng mãi đến tháng 11/2017 họ mới tung ra bản vá.
Nếu bạn không chắc thiết bị My Cloud Storage của mình có bị ảnh hưởng hay không, hãy kiểm tra danh sách bên dưới.
MyCloud
MyCloudMirror
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100
Nếu thiết bị bạn đang sử dụng có trong danh sách này, lập tức rút kết nối của nó ra khỏi hệ thống mạng ngay và kiểm tra lại firmware. Nếu firmware 2.30.172 trở lên tức là nó đã được vá lỗi, còn nếu chưa hãy sử dụng phần mềm quản lý đi kèm để cập nhật bản vá ngay trước khi tiếp tục sử dụng. Bạn cần biết một điều là thậm chí nếu bạn đã cập nhật firmware mới vào tháng 11/2017, thì có khả năng dữ liệu của bạn trong đó đã bị ai đó truy xuất từ nhiều năm về trước mà không hề hay biết rồi.
Theo Betanews