WD MyBook Live: la cancellazione di massa frutto di una falla 0-Day

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/storag...day_98868.html

Il grave episodio della scorsa settimana non è frutto di una vulnerabilità nota, ma di una falla zero-day e, forse, anche di una competizione tra hacker

Click sul link per visualizzare la notizia.

[zbear]

Cioè, DAVVERO c'è gente che mette 'sti prodotti in accesso dall'esterno?? LOL ma che vi aspettavate, la sicurezza di un SO da un prodotto economico?

[aqua84]

Quote:

Originariamente inviato da zbear

Cioè, DAVVERO c'è gente che mette 'sti prodotti in accesso dall'esterno?? LOL ma che vi aspettavate, la sicurezza di un SO da un prodotto economico?

perdonami ma che commento è?

non so se hai letto TUTTO, ma si parla di una PASSWORD per il reset che non viene richiesta per colpa di un programmatore.

davvero vuoi dirmi che nei prodotti "economici" ci si può aspettare questo?

cioè la sicurezza di una PASSWORD tu la ritieni esclusiva dei prodotti di fascia alta??

[Brajang]

Quote:

Originariamente inviato da aqua84

perdonami ma che commento è?

non so se hai letto TUTTO, ma si parla di una PASSWORD per il reset che non viene richiesta per colpa di un programmatore.

davvero vuoi dirmi che nei prodotti "economici" ci si può aspettare questo?

cioè la sicurezza di una PASSWORD tu la ritieni esclusiva dei prodotti di fascia alta??

Nei prodotti economici puoi aspettarti questo e di più... vedi IP camera che NON richiedono dati per effettuare lo stream, o li richiedono "per finta".

[canislupus]

Quote:

Originariamente inviato da Brajang

Nei prodotti economici puoi aspettarti questo e di più... vedi IP camera che NON richiedono dati per effettuare lo stream, o li richiedono "per finta".

Non c'entra nulla il prezzo del prodotto.
Lo stesso team facilmente lavora anche su fasce di prezzo più elevate.
E' evidente che sia un problema ingiustificabile.
E te lo dice uno che possiede nas Synology e Qnap.

[Cfranco]

Quote:

Originariamente inviato da aqua84

davvero vuoi dirmi che nei prodotti "economici" ci si può aspettare questo?

cioè la sicurezza di una PASSWORD tu la ritieni esclusiva dei prodotti di fascia alta??

No, pure nei prodotti di fascia alta ci si può aspettare questo e altro

[kreijack]

Quote:

Originariamente inviato da aqua84

perdonami ma che commento è?

non so se hai letto TUTTO, ma si parla di una PASSWORD per il reset che non viene richiesta per colpa di un programmatore.

davvero vuoi dirmi che nei prodotti "economici" ci si può aspettare questo?

cioè la sicurezza di una PASSWORD tu la ritieni esclusiva dei prodotti di fascia alta??

Ha espresso male il concetto legandolo alla economicità del prodotto. A prescindere dal prezzo, un NAS non dovrebbe essere affacciato su internet. A maggior ragione i prodotti economici che non sono supportati nel lungo periodo (per cui una falla scoperta quando il prodotto è vecchio non verrà mai tappata !).

Per essere più precisi, ogni prodotto non previsto esplicitamente per affacciarsi su internet... non deve essere affacciato su internet. E per "essere previsto esplicitamente", intendo un qualcosa che:
1) abbia un supporto sul lungo periodo e
2) preveda un processo di sostituzione o eliminazione quando il supporto cessa.

Se 1) e 2) non sono garantiti va staccato. (E il contrario non è scontato)

Faccio un altro esempio: la mia macchina prevede il wifi. Le mie precedenti macchine sono durante anche 20 anni. Non riponendo fiducia nel fatto che il produttore garantisse il punto 1) ed io non garantivo il punto 2)... ho semplicemente disabilitato il wifi[*].
[*] Ok, il WiFi non è proprio (il selvaggio) internet, ma è sempre una "porta" a cui chiunque si può affacciare. Poi cosa una macchina ci faccia con il wifi sempre attivo è tutto da discutere...

[canislupus]

Quote:

Originariamente inviato da kreijack

Ha espresso male il concetto legandolo alla economicità del prodotto. A prescindere dal prezzo, un NAS non dovrebbe essere affacciato su internet. A maggior ragione i prodotti economici che non sono supportati nel lungo periodo (per cui una falla scoperta quando il prodotto è vecchio non verrà mai tappata !).

Per essere più precisi, ogni prodotto non previsto esplicitamente per affacciarsi su internet... non deve essere affacciato su internet. E per "essere previsto esplicitamente", intendo un qualcosa che:
1) abbia un supporto sul lungo periodo e
2) preveda un processo di sostituzione o eliminazione quando il supporto cessa.

Se 1) e 2) non sono garantiti va staccato. (E il contrario non è scontato)

Faccio un altro esempio: la mia macchina prevede il wifi. Le mie precedenti macchine sono durante anche 20 anni. Non riponendo fiducia nel fatto che il produttore garantisse il punto 1) ed io non garantivo il punto 2)... ho semplicemente disabilitato il wifi[*].
[*] Ok, il WiFi non è proprio (il selvaggio) internet, ma è sempre una "porta" a cui chiunque si può affacciare. Poi cosa una macchina ci faccia con il wifi sempre attivo è tutto da discutere...

Scusami... ma allora il problema qui è dei produttori.

Se mi vendi un prodotto che PUO' essere visibili su internet, dopo sconsigliarne l'uso... è un po' un controsenso.

[gianluca.f]

Quote:

Originariamente inviato da kreijack

A prescindere dal prezzo, un NAS non dovrebbe essere affacciato su internet.

[ruicardo]

Quote:

Originariamente inviato da kreijack

Ha espresso male il concetto legandolo alla economicità del prodotto. A prescindere dal prezzo, un NAS non dovrebbe essere affacciato su internet. A maggior ragione i prodotti economici che non sono supportati nel lungo periodo (per cui una falla scoperta quando il prodotto è vecchio non verrà mai tappata !).

Per essere più precisi, ogni prodotto non previsto esplicitamente per affacciarsi su internet... non deve essere affacciato su internet. E per "essere previsto esplicitamente", intendo un qualcosa che:
1) abbia un supporto sul lungo periodo e
2) preveda un processo di sostituzione o eliminazione quando il supporto cessa.

Se 1) e 2) non sono garantiti va staccato. (E il contrario non è scontato)

Faccio un altro esempio: la mia macchina prevede il wifi. Le mie precedenti macchine sono durante anche 20 anni. Non riponendo fiducia nel fatto che il produttore garantisse il punto 1) ed io non garantivo il punto 2)... ho semplicemente disabilitato il wifi[*].
[*] Ok, il WiFi non è proprio (il selvaggio) internet, ma è sempre una "porta" a cui chiunque si può affacciare. Poi cosa una macchina ci faccia con il wifi sempre attivo è tutto da discutere...

Hai detto una serie di baggianate una dietro l'altra...
i NAS sono disegnati per internet, a meno che non parli di prodotti del 1990... e mi viene il dubbio che se ti durano le cose venti anni parliamo di funzionalità di cui non sei aggiornato.
il wifi non deve essere sempre acceso..... -> altra cosa antidiluviana... se il tuo problema è che ci sono porte in ascolto, quelle le hai sempre sia con i cavi che senza, basta che stai su internet...

[massi47911]

Quote:

Originariamente inviato da zbear

Cioè, DAVVERO c'è gente che mette 'sti prodotti in accesso dall'esterno?? LOL ma che vi aspettavate, la sicurezza di un SO da un prodotto economico?

Certo, capisco quello che vuoi dire ma non sono d'accordo. Non si parla di una cinesata, ma di un prodotto venduto in molte catene.
Il discorso è come per certi bug di smart TV fatti da multinazionali che fatturano miliardi, ma troppo tirchie per correggere vulnerabilità grosse come una casa. Dovrebbe esserci una authority che sanzioni le aziende con comportamenti così.

Quando avrai un lavoro e figli, voglio vedere se saprai essere così esperto su tutto ciò che ti circonda, dalla casa ai veicoli, dal dentista alla verdura che compri...la verità è che, onestamente, non si può dare la colpa al consumatore perché non è laureato in informatica. Non questa volta, almeno.

[kreijack]

Quote:

Originariamente inviato da ruicardo

Hai detto una serie di baggianate una dietro l'altra...

Beh, l'affermazione è importante. Ma la devi argomentare.

Quote:

Originariamente inviato da ruicardo

i NAS sono disegnati per internet, a meno che non parli di prodotti del 1990... e mi viene il dubbio che se ti durano le cose venti anni parliamo di funzionalità di cui non sei aggiornato.

Proviamo ad argomentare:
- se siamo qui è perché evidentemente non è così scontato che i NAS possano essere lasciati alla balia di internet. Teniamo presente che i NAS non sono oggetti diffusissimi, ma se esistono exploit dedicati significa che sono dei "buoni" target per un certo tipo di "utenza" (con spirito non proprio da samaritano)
- più nel dettaglio, protocolli come SMB/CIFS e NFS non sono proprio ideali su rete non locale: sia per la complessità [**] dei protocolli (che implica anche una certa fragilità) sia perché certe operazioni (mi viene in mente il file locking) mal si accompagnano alle latenza di internet
- infine NAS come questo dopo qualche anno non ha subito più aggiornamenti. Non è igenico lasciarlo esposto. A maggior ragione se uno pensa di lasciarci dei dati a cui tiene. Differente sarebbe se fosse sotto una VPN o le porte in oggetto fossero accessibili solo da alcuni IP.

Poi io sono stra-sicuro che esistano produttori (come quello di cui stiamo parlando) che suggeriscano di mettere su ip pubblico[*] i propri prodotti. Ma non è detto che bisogna crederci.

Il mantra è sempre lo stesso: la sicurezza non è un prodotto ma un processo continuo. Non è sano mettere un prodotto accessibile liberamente da internet se il supporto è interrotto (ed il cui processo "continuo" di manutenzione è ovviamente anch'esso interrotto). A maggior ragione di oggetti di media complessità come i NAS.

Quote:

Originariamente inviato da ruicardo

il wifi non deve essere sempre acceso..... -> altra cosa antidiluviana... se il tuo problema è che ci sono porte in ascolto, quelle le hai sempre sia con i cavi che senza, basta che stai su internet...

Quà credo che tu abbia capito male. Per me una macchina è un oggetto a 4 ruote ed uno sterzo: fammi capire come gli vorresti mettere un cavo.. oppure realmente pensi che mi riferissi a computer di 20 anni fa


[*] Ho letto il manuale è non è proprio indicato in questi termini. E' il NAS che via UPNP si fa attivare il port forwarding dal router. Per certi versi è anche peggio: è il NAS che apre le porte. E nel manuale non è proprio chiaramente indicato che rischi comporta questo.

[**] Wikipedia riporta che SMB2 ha circa 19 comandi, contro i 100 di SMB1. NFS (la v3) anche lui ha una 20 di comandi; a memoria il protocollo HTTP (un protocollo nato per internet) ne ha la metà di cui solo tre o 4 sono poi effettivamente usati.

[deuterio1]

Quote:

Originariamente inviato da kreijack

Proviamo ad argomentare:
- se siamo qui è perché evidentemente non è così scontato che i NAS possano essere lasciati alla balia di internet. Teniamo presente che i NAS non sono oggetti diffusissimi, ma se esistono exploit dedicati significa che sono dei "buoni" target per un certo tipo di "utenza" (con spirito non proprio da samaritano)
- più nel dettaglio, protocolli come SMB/CIFS e NFS non sono proprio ideali su rete non locale: sia per la complessità [**] dei protocolli (che implica anche una certa fragilità) sia perché certe operazioni (mi viene in mente il file locking) mal si accompagnano alle latenza di internet
- infine NAS come questo dopo qualche anno non ha subito più aggiornamenti. Non è igenico lasciarlo esposto. A maggior ragione se uno pensa di lasciarci dei dati a cui tiene. Differente sarebbe se fosse sotto una VPN o le porte in oggetto fossero accessibili solo da alcuni IP.

Sono d'accordo su tutto (per quanto mi riguarda un NAS, così come qualsiasi altro dispositivo che sia collegabile ad una rete, non dovrebbe essere mai raggiungibile da WAN, salvo casi eccezionali a seguito di opportuno hardening e successivo costante monitoraggio), ma probabilmente le cose sono andate in modo diverso: queste moderne "scatolette" smart (NAS, IP camera, robot aspirapolvere, stampanti, etc.) spesso si vantano di funzionalità cloud che sono implementate tramite l'instaurazione un link con il cloud del produttore (es. il QuickConnect di Synology). Questa connessione non avviene tramite l'esposizione in WAN di servizi, ma tramite una connessione uscente dal dispositivo che crea un tunnel verso i sistemi cloud del produttore. Questo link permette al dispositivo di essere raggiungibile da WAN tramite un servizio di relay, tipicamente collegandosi al sito del produttore, che effettua una prima autenticazione (previa registrazione dell'utente). In genere questo link viene usato anche per fare altre cose, come il controllo remoto, la telemetria, la diagnostica, gli aggiornamenti, etc. e probabilmente è stato questo il canale sfruttato per portare a termine l'attacco.

Quindi di fatto non è l'utente che sceglie di esporre il NAS, piuttosto il produttore che decide di includere un servizio attivo di default, le cui vulnerabilità ampliano la superfice di attacco.

Per quanto riguarda UPNP, che è il male assoluto, questo dovrebbe (si spera) essere disabilitato di default su qualsiasi router moderno decente, ovviamente è saggio verificare in ogni caso.

D

[zappy]

Quote:

Originariamente inviato da canislupus

Se mi vendi un prodotto che PUO' essere visibili su internet, dopo sconsigliarne l'uso... è un po' un controsenso.

direi frode in commercio.

Quote:

Originariamente inviato da zbear

Cioè, DAVVERO c'è gente che mette 'sti prodotti in accesso dall'esterno?? LOL ma che vi aspettavate, la sicurezza di un SO da un prodotto economico?

a parte quando detto da deuterio, ormai è tutto così buggato che anche se non lo esponi volontariamente, anche il router sarà bacato...

Quote:

Originariamente inviato da deuterio1

Sono d'accordo su tutto (per quanto mi riguarda un NAS, così come qualsiasi altro dispositivo che sia collegabile ad una rete, non dovrebbe essere mai raggiungibile da WAN, salvo casi eccezionali a seguito di opportuno hardening e successivo costante monitoraggio), ma probabilmente le cose sono andate in modo diverso: queste moderne "scatolette" smart (NAS, IP camera, robot aspirapolvere, stampanti, etc.) spesso si vantano di funzionalità cloud che sono implementate tramite l'instaurazione un link con il cloud del produttore (es. il QuickConnect di Synology). Questa connessione non avviene tramite l'esposizione in WAN di servizi, ma tramite una connessione uscente dal dispositivo che crea un tunnel verso i sistemi cloud del produttore. Questo link permette al dispositivo di essere raggiungibile da WAN tramite un servizio di relay, tipicamente collegandosi al sito del produttore, che effettua una prima autenticazione (previa registrazione dell'utente). In genere questo link viene usato anche per fare altre cose, come il controllo remoto, la telemetria, la diagnostica, gli aggiornamenti, etc. e probabilmente è stato questo il canale sfruttato per portare a termine l'attacco.

Quindi di fatto non è l'utente che sceglie di esporre il NAS, piuttosto il produttore che decide di includere un servizio attivo di default, le cui vulnerabilità ampliano la superfice di attacco.

Per quanto riguarda UPNP, che è il male assoluto, questo dovrebbe (si spera) essere disabilitato di default su qualsiasi router moderno decente, ovviamente è saggio verificare in ogni caso.

[zappy]

cmq, sempre più convinto che tutti 'sti dispositivi è meglio sostituirli con hw non specializzato, che si aggiorna personalmente, senza dipendere da firmware o patch di produttori...
smart tv> pc mediacenter
NAS > pc con raid...
ecc.
certo, più scomodo impegnativo e ingombrante... peraltro magari un solo pc può fare più ruoli...

[kreijack]

Quote:

Originariamente inviato da deuterio1

queste moderne "scatolette" smart (NAS, IP camera, robot aspirapolvere, stampanti, etc.) spesso si vantano di funzionalità cloud che sono implementate tramite l'instaurazione un link con il cloud del produttore (es. il QuickConnect di Synology). Questa connessione non avviene tramite l'esposizione in WAN di servizi, ma tramite una connessione uscente dal dispositivo che crea un tunnel verso i sistemi cloud del produttore. Questo link permette al dispositivo di essere raggiungibile da WAN tramite un servizio di relay, tipicamente collegandosi al sito del produttore, che effettua una prima autenticazione (previa registrazione dell'utente). In genere questo link viene usato anche per fare altre cose, come il controllo remoto, la telemetria, la diagnostica, gli aggiornamenti, etc. e probabilmente è stato questo il canale sfruttato per portare a termine l'attacco.

Il manuale riporta[*]:

collegamento relè stabilito – L'unità My Book Live tenta di configurare la rete per consentire le connessioni dirette, quando possibile. Alcune reti non supportano il protocollo UPnP, che My Book Live utilizza per queste configurazioni. Se si desidera una connessione diretta al posto di una a relè, consultare il manuale d'uso del router per determinare la compatibilità UPnP. Inoltre, alcuni ISP implementano il “double-NATing”, che rende irraggiungibile l'indirizzo IP del router per il collegamento diretto (port forwarding). In questo caso, consultare il proprio ISP per le alternative per abilitare le connessioni in port forwarding.


Per quanto lo chiami "collegamento relè[relay]" (soprassediamo sulla qualità delle traduzioni), sembra proprio che apri una porta e quindi ci possa essere un collegamento diretto client->nas. Probabilmente la parte cloud serve solo per localizzare il nas: il nas si connette al cloud WD e comunica il proprio IP "pubblico". Il client passa per il cloud per conoscere l'ip pubblico, e poi ci si connette direttamente.
C'è anche un motivo economico in questa tecnica: l'alternativa al collegamento diretto è passare per il cloud, il che significa che WD pagherebbe per l'uso di quella banda da parte dei suoi clienti.

Quote:

Originariamente inviato da deuterio1

Quindi di fatto non è l'utente che sceglie di esporre il NAS, piuttosto il produttore che decide di includere un servizio attivo di default, le cui vulnerabilità ampliano la superfice di attacco.

Sempre secondo il manuale, l'accesso remoto deve essere abilitato dall'utente. Quindi non è automatico. Va detto che però WD avrebbe dovuto evidenziare i rischi nel manuale di una simile scelta. Io li conosco (così come molti di noi), ma molti gli ignorano.
[*] https://media.flixcar.com/f360cdn/We...779-705058.pdf

[deuterio1]

Quote:

Originariamente inviato da kreijack

Per quanto lo chiami "collegamento relè[relay]" (soprassediamo sulla qualità delle traduzioni), sembra proprio che apri una porta e quindi ci possa essere un collegamento diretto client->nas. Probabilmente la parte cloud serve solo per localizzare il nas: il nas si connette al cloud WD e comunica il proprio IP "pubblico". Il client passa per il cloud per conoscere l'ip pubblico, e poi ci si connette direttamente.

Prendo atto di quanto hai riportato, IMHO si tratta veramente una pessima scelta da parte di WD: esporre servizi potenzialmente vulnerabili tramite UPNP su rete pubblica, per di più su dispositivi usati principalmente in contesti domestici, nei quali la maggioranza dell'utenza non è in grado di comprendere i rischi che questo comporta, mi sembra molto criticabile.

È vero che va sempre letta la documentazione, ma bisogna anche poterla comprendere, e alcuni concetti non sono alla portata di utenti che non siano appassionati di tecnologia o che non abbiano conoscenze nel campo IT.

Felice di aver scelto altro per me, non consiglierò mai prodotti di questa marca alle persone a cui tengo.

D

[zappy]

Quote:

Originariamente inviato da deuterio1

È vero che va sempre letta la documentazione, ma bisogna anche poterla comprendere, e alcuni concetti non sono alla portata di utenti che non siano appassionati di tecnologia o che non abbiano conoscenze nel campo IT.

magari con qualche disegnino che non guasta...

[Cfranco]

Quote:

Originariamente inviato da deuterio1

esporre servizi potenzialmente vulnerabili tramite UPNP su rete pubblica, per di più su dispositivi usati principalmente in contesti domestici, nei quali la maggioranza dell'utenza non è in grado di comprendere i rischi che questo comporta, mi sembra molto criticabile.

Per me