מיליוני משתמשים בסיכון ברחבי העולם: חוקרי Team82 בחברת קלארוטי חשפו חולשת אבטחה..

 שמאפשרת לתוקפים להתחזות להתקני NAS של חברת Western Digital

 צוות המחקר של חברת קלארוטי, Team82, חושף טכניקת תקיפה שהייתה יכולה לאפשר לתוקפים להתחזות להתקני NAS של חברת ווסטרן דיגיטל (Western Digital) וכך לקבל גישה למיליארדי קבצים ולמאות אלפי רשתות והתקנים ביתיים.

חברת ווסטרן דיגיטל הינה אחת מיצרניות התקני ה-NAS הגדולות בעולם. החברה מספקת למשתמשים שירות ענן בשם MyCloud OS5, המאפשר למשתמשי קצה גשת למכשיר שלהם מרחוק באמצעות אפליקציה מבוססת אינטרנט או מובייל. החולשות התגלו במכשיר  Western Digital My Cloud Pro ב-Series PR4100, שמטרתו לספק פתרונות אחסון לשוק ה"משרד הקטן/המשרד הביתי".

החוקרים הצליחו להוכיח כי תוקפים יכולים להתחזות למכשיר NAS של כל משתמש קצה המחובר לענן, "לגנוב" את ערוץ התקשורת בינו לבין שירותי הענן של החברה ולהפנות את משתמשי הקצה למכשיר המזויף במקום למכשיר האמתי ובכך לקבל את נתוני ההזדהות למכשירים האמתיים לצורך התחברות מרחוק. חולשות נוספות שמצא הצוות אפשרו לו למנף את ההרשאות החדשות שהושגו כדי לבצע קוד מרחוק, דבר שסיפק להם שליטה מלאה על ההתקן.

נעם משה, חוקר סייבר בצוות Team82 של קלארוטי, אמר כי: "החולשות שמצאנו חמורות במיוחד, מאחר שהן מעמידות בסיכון נתונים של מיליוני משתמשים ברחבי העולם. יצרנים ומפתחים חייבים בעתיד להשקיע את אותם משאבי אבטחה באימות התקנים כפי שהם עושים באימות משתמשים. טכניקת ההתחזות שלנו חשפה וניצלה את העובדה שיכולות האימות של ווסטרן דיגיטל הסתמכו על נתוני זיהוי גלויים שתוקפים יכולים להשיג מרחוק, ולא על נתונים סודיים. סביר להניח שאימות מכשירים לקוי קיים בקרב פלטפורמות וספקים נוספים".

לאחר פניית צוות המחקר לווסטרן דיגיטל, החברה תיקנה את כל החולשות שנחשפו. גרסאות קושחה מעודכנות זמינות עבור Western Digital My Cloud OS 5, My Cloud Home ו-SanDisk ibi. התקנים שעדיין פועלים עם קושחה פגיעה נאסרו לשימוש ולחיבור לשירותי הענן של Western Digital החל מה-23 במרץ 2023; על המשתמשים לשדרג את גרסאות הקושחה המושפעות באופן מידי לאור חומרת חולשות האבטחה הללו.

חולשות האבטחה נחשפו לראשונה במהלך אירוע Pwn2Own בטורונטו. צוות Team82 מודה ל-Western Digital על שיתוף הפעולה בתיקון חולשות האבטחה, וכן ליוזמת Zero Day Initiative שיזמה את אירועי Pown2Own.

ארבע חולשות האבטחה של Western Digital:

• CVE-2022-36331: https://www.westerndigital.com/support/product-security/wdc-22020-my-cloud-os-5-my-cloud-home-ibi-firmware-update
• CVE-2022-36328: https://www.westerndigital.com/support/product-security/wdc-23006-my-cloud-firmware-version-5-26-202

• CVE-2022-29841: https://www.westerndigital.com/en-il/support/product-security/wdc-23002-my-cloud-firmware-version-5-26-119
•  CVE-2022-36327: https://www.westerndigital.com/support/product-security/wdc-23006-my-cloud-firmware-version-5-26-202
• יוזמת Zero Day Initiative, המארגנת את אירועי Pwn2Own, פרסמה חוות דעת:
  • ZDI-23-847
  • ZDI-23-848
  • ZDI-23-849

• חברת Western Digital סיפקה עדכוני קושחה עבור כל המכשירים המושפעים ופרסמה חוות דעת (כאן, כאן, וכאן). התקנים מחוברים עודכנו אוטומטית.

המחקר המלא כאן.

 אודות קלארוטי

קלארוטי (Claroty) מאפשרת לארגונים ברחבי העולם לאבטח מערכות סייבר-פיזיות משולבות (Cyber-Physical Systems) בסביבה התעשייתית (OT), במגזר הבריאות (IoMT) ובמגזר הארגוני (IoT) – המהווים יחד את האינטרנט המורחב של הדברים (XIoT). הפלטפורמה המאוחדת של קלארוטי משתלבת עם תשתיות קיימות בארגונים ומספקת מגוון שלם של בקרות לגילוי נכסים, זיהוי וניהול סיכונים וחולשות אבטחה וגישה מאובטחת מרחוק.

קלארוטי מגובה על ידי חברות ההשקעה וספקי האוטומציה התעשייתית המובילים והגדולים בעולם, ויש לה מאות לקוחות ארגוניים באלפי אתרים ברחבי העולם. מטה החברה נמצא בניו יורק, עם משרדים בישראל, אירופה, אסיה-פסיפיק ואמריקה הלטינית. מאז הקמתה בתל אביב בשנת 2015 על ידי Team8, הושקעו בחברה כ-635 מיליון דולרים. לאתר החברה: www.claroty.com