Cada vez es más frecuente tener en nuestra casa un servidor NAS, un pequeño servidor casero que nos sirve para guardar nuestros datos y poder acceder a ellos a través de Internet, además de ofrecernos otros servicios, como descargas torrent o, muy importante, tener un servidor multimedia centralizado en nuestro ordenador. Siempre que hablamos de un servidor, ya sea de uso casero o en una empresa, la seguridad debe ser una prioridad y, aunque hay marcas que realmente la cuidan, los servidores NAS Western Digital My Cloud suspenden en cuanto a seguridad, y son, probablemente, los más fáciles de hackear.

No es la primera vez que Western Digital pone en evidencia la seguridad de sus productos. El pasado mes de abril os contamos que los NAS de Western Digital podían filtrar nuestros datos guardados, así como el problema en los reproductores multimedia WD, que eran vulnerables a cambios de contraseña (y que la compañía se negó a actualizar para corregir la vulnerabilidad), además de otros fallos de seguridad que han puesto una y otra vez en evidencia la seguridad de este fabricante.

Hoy, los servidores NAS de Western Digital My Cloud vuelven a ser noticia y, como no, por sus problemas de seguridad. Hace algunas horas se daba a conocer un fallo de seguridad en el proceso de autenticación de los NAS WD My Cloud que puede permitir a cualquiera, muy fácilmente, conseguir permisos de administrador en cualquier servidor sin ni siquiera necesitar una contraseña.

Este fallo de seguridad, registrado como CVE-2018-17153, brinda a cualquier pirata informático permisos de administrador, con los cuales el atacante podría tomar el control absoluto del NAS, ejecutar comandos, copiar archivos, eliminarlos, descargarlos e incluso sobrescribirlos. Además, no se necesita nada para poder explotar este fallo de seguridad más que conocer la dirección IP del propio NAS WD My Cloud.

Ha pasado más de un año desde que Western Digital fue advertido de esta vulnerabilidad, y no ha dado respuesta

Los investigadores de seguridad que han encontrado esta vulnerabilidad lo hicieron en abril de 2017, enviándosela a WD en privado para que pudieran solucionarla. Desde entonces, la compañía ha guardado absoluto silencio y ni ha respondido a los investigadores de seguridad ni se ha molestado en corregir la vulnerabilidad.

Dado que está claro que a Western Digital no le importa nada la seguridad de sus productos, estos investigadores de seguridad han hecho finalmente público el fallo para que los usuarios lo conozcan. Además, se ha publicado una prueba de concepto del exploit, por lo que, a partir de ahora, todos los usuarios con un servidor NAS de Western Digital están en peligro.

Los expertos de seguridad han sido capaces de demostrar el fallo de seguridad en un Western Digital My Cloud modelo WDBCTL0020HWT ejecutando el firmware 2.30.172, aunque, dada su naturaleza, es seguro que se encuentra en otros servidores NAS de este mismo fabricante, ya que la base del firmware de ellos es prácticamente la misma.

¿Qué opinas de la seguridad de los NAS Western Digital?