На днях была опубликована уязвимость в NAS устройствах от Western Digital. А точнее натуральный встроенный бэкдором, для которого на текущий момент все еще нет официальной заплатки.
Бэкдор позволяет получить root доступ к устройствам просто воспользовавшись железно прошитым логином и паролем для многих NAS решений.
James Bercegay обнаружил уязвимость в середине 2017 года.Но спустя 6 месяцев, которые были предоставлены WD на устранение проблемы, официальный патч так и не был выпущен.
Детали об уязвимости и пример эксплоита был опубликованы на GulfTech 5 января 2018......

Модели, которые подвержены уязвимости:
My Cloud Gen 2
My Cloud EX2
My Cloud EX2 Ultra
My Cloud PR2100
My Cloud PR4100
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100

Полностью: https://m.geektimes.ru/post/297145/
-------------------------------------------------------------------

Что-то как-то жёстко год начинается: сначала Intel, сейчас WD... а ведь только 1 декада января закрыта

Это не уязвимость, а закладка АНБ США.

(1)+1

Кстати, во всех роутерах и сим-картах есть аналогичные закладки.

(3) для роутеров есть openwrt

Цитата из статьи: "любой может воспользоваться админ-логином «mydlinkBRionyg»..."

Казалось бы, при чем тут DLink? :))

(5) возможно, сегодня все уже разбежались, на завтра уже запланировали у себя длинки проверить на этот логин

У вас NAS торчит в Интернет?! Может вы ещё и презервативами не пользуетесь?

(4) Специальный сигнал даже не доходит до ОС роутера, а обрабатывается прошивкой. Даже не прошивкой, а лоудером прошивки, т.е. не перепрошивается.

В жёстких дисках есть аналогичный бэкдор
OFF: Касперский нашёл супервирус, заражающий контроллер жёстких дисков. Лечения нет

(5) А может не dlink а mydlink? :)

"используя предсказуемые названия хостов".
Правильно! Используйте непредсказуемые названия хостов.

(7) нет, но среди персонала персонажи с шаловливыми ручками встречаются

(8)Жесть!

Ужас какой! Любимые фильмы украдут?

(7) У меня NAS торчит в инет, потому что он мне нужен и через инет тоже. Правда у меня Seagate PersonalCloud.

+ (14) Правда у меня там нет никакой критичной к похищению или потере информации.

(14) Прям консолью управления торчит в Интернет?

(13) Домашнее видео могут и украсть.

(16) Да, и ей тоже, но там надо знать пароль и имя пользователя.

(18) Не беспокойся, его уже знают.

(16) Удаленный доступ к Seagate PersonalCloud идет через сайт сигейта, по логину/паролю

Вот тебе, бабушка, и Сеагейт: https://betanews.com/2015/09/07/time-to-patch-your-firmware-backdoor-discovered-into-seagate-nas-drives/

+(21) Цитата: "The affected device firmware contains undocumented Telnet services accessible by using the default credentials of 'root' as username and the default password"

(20) Это просто сервис DDNS.  Инженерных паролей в любой бытовухе много, это не злой умысел - это безалаберность. Поэтому предпочитаю у себя дома иметь  ubnt :-)

(8) Ну про винты дяди говорят, что врут нагло.

Цитата месяца:

"...верить в наше время нельзя никому. Порой даже самому себе. Мне можно!"