É uma falha de elevação de privilégio que pode ser explorada pelos atacantes de forma a ganharem um acesso de administrador ao dispositivo através de um pedido HTTP e sem dar uma password. A esta falha foi atribuído o CVE-2018-17153. O hacker pode explorar a falha para correr comandos, ter acesso aos dados no dispositivos, modificá-los/copiá-los e eliminá-los, comandos esses normalmente atribuídos a um administrador. Um utilizador não autenticado consegue criar uma sessão de administrador a que está associado um endereço IP.

Desta forma, a vulnerabilidade reside no processo de criação das sessões de administrador implementadas nos dispositivos My Cloud, a que está associado o endereço IP do utilizador.

Assim que a sessão é criada, é possível chamar módulos CGI autenticados enviando o cookie username=admin no pedido HTTP. O CGI irá verificar se está presente uma sessão válida e associar-se ao endereço IP do utilizador.

Segundo a Securify, o módulo network_mgr.cgi contém um comando que se designa por cgi_get_ipv6, que começa uma sessão de adiministrador associada ao endereço IP do user que faz o pedido quando é invocado com o parámetro "flag=1". Assim, as posteriores invocações de comandos que em situações normais requeriam privilégios de administrador são agora autorizadas se um atacante definir o cookie username=admin".

Prova de conceito:

POST /cgi-bin/network_mgr.cgi HTTP/1.1 Host: wdmycloud.local Content-Type: application/x-www-form-urlencoded Cookie: username=admin Content-Length: 23

cmd=cgi_get_ipv6&flag=1

Esta vulnerabilidade não se encontra ainda corrigida pela WD, embora tenha sido reportada em Abril.

EDIT: Esta vulnerabilidade pode ser patchada através do seguinte link: https://support.wdc.com/knowledgebase/answer.aspx?ID=25952&s