Ve firmware celkem 12 zařízení se nachází povolený vzdálený administrátorský přístup, ke kterému se může kdokoli přihlásit předem nadefinovaným přihlašovacím jménem a heslem, to je přitom pro všechny přístroje společné a nelze změnit.

Přihlašovací údaje jsou dnes veřejně známé (login: „mydlinkBRionyg“ a heslo: „abc12345cba“) a samotný login bohužel není možné zakázat nebo alespoň přihlašovací údaje změnit. Zařízení tak otevírají dokořán svou náruč útočníkům prakticky bez nutnosti nějakých pokročilých technických znalostí.

Login slouží primárně k přístupu na disk pro čtení, ale analytik James Bercegay z Gulftech, který chybu odhalil, nakonec získal také root přístup. Samotný útok je tak banální, že jej lze bez problému algoritmizovat a provádět třeba prostřednictvím síťového červa. Na zařízení je možné útočit dokonce i když jsou jen na místní síti a to přes web. Stačí na stánky umístit patřičně upravený obrázek v HTML a iFrame tagy k odesílání požadavku na zařízení na místní síti.

Problém mají produkty z řad My Cloud a My Cloud Mirror. Konkrétně se jedná o modely My Cloud Gen 2, My Cloud EX2, My Cloud EX2 Ultra, My Cloud PR2100, My Cloud PR4100, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100, My Cloud DL4100 a MyCloudMirror (pouze s firmwarem do verze 2.30.165 včetně).

Zajímavostí je, že se backdoor do NAS od WD dostal skrze zařízení D-Linku (chyba byla vystopována v softwaru ShareCenter u NAS D-Link DNS-320L). Firma totiž využívala jejich upravený software, samotný D-Link ale chybu opravil již v roce 2014.

KW