Starší OS 3 v NASech WD má kritickou chybu, oprava asi nebude

Zařízení připojená do Internetu čelí jednomu velkému problému. Přestože fungují, výrobci na ně mnohdy už nevydávají aktualizované firmwary, takže uživatelé jsou vystaveni nebezpečí a bohužel s tím nemohou nic víc dělat. Negativní odezvu tak nyní zažívá společnost Western Digital. Majitelé starších NASů My Book Live jsou terčem útoků malwaru, který maže data, neboť firmwary nebyly opraveny od roku 2015 a mají spoustu neopravených chyb. Na druhou stranu je nutno podotknout, že není v silách výrobce nekonečně podporovat všechny produkty, které kdy vyrobil (a podobně to máme i se staršími smartphony a mnoha jinými zařízeními). Bohužel tu máme další bezpečnostní chybu, která po pár měsících vychází na světlo světa a dá se čekat, že se nyní všichni začnou hrabat v NASech i jiných společností a hledat, na které chyby se zapomnělo.

 

 

Nyní jde o NASy Western Digital, které využívají operační systém OS 3. Chybu chtěli už loni na soutěži prezentovat výzkumníci Radek Domanski a Pedro Riberio, jenže k jejich smůle a štěstí uživatelů Western Digital představil novou verzi OS 5, která už měla tuto chybu opravenu. Na soutěži totiž mohou prezentovat útoky jen na poslední verzi firmwaru. Útok tak prezentovali až na YouTube v únoru letošního roku. Vystávají však dva problémy. Mnozí uživatelé jsou s OS 5 nespokojeni (preferují starší OS 3) a také nový systém nelze nainstalovat na spoustu starších NASů. Přestože tak běží a fungují, uživatelé jsou vydání napospas útočníkům, protože neexistuje možnost, jak využívat firmware bez známé chyby. Jedním z řešení je odpojit NAS od Internetu (nechat ho jen pro vnitřní síť) nebo zakoupit nový NAS.

 

 

A zde se obávám, že by pro WD bylo jednodušší a marketingově lepší uvést opravu i pro již nepodporovaný systém, než tlačit uživatele do výměny NASu. Nedá se moc předpokládat, že by uživatel chtěl zvolit stejnou značku, když je přinucen k upgradu kvůli tomu, že výrobce neuvedl opravu (byť produktu už nastal konec oficiální podpory). Toto ale není jen záležitost WD, starší NASy nejsou z výše uvedených důvodů podporovány ani u jiných značek. Nelze donekonečna podporovat vše, co kdy bylo vyrobeno, nové OS mohou být nekompatibilní i kvůli zastaralému HW. Výzkumníci nicméně přišli s neoficiální opravou, která má 18 řádků kódu včetně komentářů (v podstatě samotná oprava má 5 řádků). Problém byl v tom, že NASy mají uživatelský účet bez hesla, který lze zneužít. Problém neoficiální opravy je v tom, že je potřeba ji znovu aktivovat po každém restartu NASu.

 

Nyní se dá předpokládat, že tak jako Spectre a Meltdown roznítily hledání bezpečnostních chyb v procesorech, tak i posledních chyby v NASech WD rozhoří hledání chyb v NASech a dost pravděpodobně najdeme podobné problémy i u dalších výrobců (ať už nově objevené nebo znovu vytažené na světlo, jako je tato).

 

Zdroj: krebsonsecurity.com, engadget.com