Bærbare datamaskiner

Western digital min sikkerhetsproblem i skyen passord oppdaget

2025
Western digital min sikkerhetsproblem i skyen passord oppdaget

Innholdsfortegnelse:

Anonim

Western Digital My Cloud- enheter ble funnet å være påvirket av en autentiseringssårbarhet. En hacker kunne få full administrativ tilgang til disken gjennom nettportalen uten å måtte bruke et passord, og dermed få full kontroll over My Cloud- enheten.

Western Digital My Cloud med sikkerhetsproblemer

Dette sikkerhetsproblemet ble vellykket verifisert på en Western Digital My Cloud WDBCTL0020HWT-modell som kjører firmwareversjon 2.30.172. Dette problemet er ikke begrenset til en enkelt modell, siden de fleste av My Cloud-produktene har samme kode, og derfor det samme sikkerhetsproblemet.

Western Digital My Cloud er en billig nettverkstilkoblet lagringsenhet. Det ble nylig oppdaget at en bruker med litt kunnskap lett kunne logge seg på via nettet og opprette en administrasjonsøkt som er koblet til en IP-adresse. Ved å utnytte dette problemet, kan en ikke-autentisert angriper utføre kommandoer som normalt vil kreve administratorrettigheter og få full kontroll over My Cloud- enheten. Problemet ble oppdaget mens omvendt engineering CGI-binærbilder for å lete etter sikkerhetsproblemer.

Detaljene

Hver gang en administrator autentiserer, opprettes en økt på serversiden som er bundet til brukerens IP-adresse. Når økten er opprettet, er det mulig å ringe de autentiserte CGI-modulene ved å sende brukernavnet = admin-informasjonskapselen i HTTP-forespørselen. Den påberopte CGI vil sjekke om en gyldig økt er til stede og koblet til brukerens IP-adresse.

Det ble oppdaget at en ikke-autentisert angriper kan lage en gyldig økt uten å måtte logge inn. CGI-modulen network_mgr.cgi inneholder en kommando kalt cgi_get_ipv6 som starter en administrasjonsøkt som er bundet til IP-adressen til den anmodende brukeren når påkalt med parameterflagget lik 1. Den påfølgende påkallingen av kommandoer som normalt vil kreve Administratorrettigheter vil nå bli autorisert hvis en angriper angir brukernavnet = admin informasjonskapsel, som vil være en kake for enhver hacker.

For øyeblikket er ikke problemet løst i påvente av en firmwareoppdatering fra Western Digital.

Guru3D Font

Western digital lanserer skyen ext2 ultra nas

Western digital lanserer skyen ext2 ultra nas

Western Digital My Cloud Ext2 Ultra NAS kunngjorde med to harddiskplasser og støtte for opptil 12 TB kapasitet.

Google-prosjekt null oppdager et alvorlig sikkerhetsproblem i Windows 10

Google-prosjekt null oppdager et alvorlig sikkerhetsproblem i Windows 10

Project Zero oppdager en alvorlig sikkerhetsfeil i Windows 10 relatert til SvcMoveFileInheritSecurity ekstern prosedyresamtale (RPC).

Microsoft løser et sikkerhetsproblem i Windows 7

Microsoft løser et sikkerhetsproblem i Windows 7

Microsoft har gitt ut en ny oppdatering for å fikse et sikkerhetsproblem i Windows 7 relatert til Meltdown.

Bærbare datamaskiner

Redaktørens valg

Mister HTC interessen for Windows Phone?

Mister HTC interessen for Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Bilder av det som kan være den nye Nokia Lumia EOS

Bilder av det som kan være den nye Nokia Lumia EOS

2025
Bygg 2013-enheter: venter på produsenter

Bygg 2013-enheter: venter på produsenter

2025
Back to top button