Klēpjdatori

Atklāta Western Digital My Cloud paroļu ievainojamība

2024
Atklāta Western Digital My Cloud paroļu ievainojamība

Satura rādītājs:

Anonim

Tika konstatēts, ka Western Digital My Cloud ierīces ietekmē autentifikācijas ievainojamība. Hakeris varēja iegūt pilnīgu administratīvu piekļuvi diskam, izmantojot tīmekļa portālu, neizmantojot paroli, tādējādi iegūstot pilnīgu My Cloud ierīces kontroli.

Western Digital My Cloud ar drošības jautājumiem

Šī ievainojamība tika veiksmīgi pārbaudīta Western Digital My Cloud WDBCTL0020HWT modelī, kurā darbojas programmaparatūras versija 2.30.172. Šī problēma neaprobežojas tikai ar vienu modeli, jo lielākajai daļai My Cloud sērijas produktu ir vienāds kods, tātad tā pati drošības problēma.

Western Digital My Cloud ir lētu, tīklam pievienota krātuves ierīce. Nesen tika atklāts, ka lietotājs ar zināmām zināšanām var viegli pieteikties tīmeklī un izveidot administrēšanas sesiju, kas ir saistīta ar IP adresi. Izmantojot šo problēmu, neautentificēts uzbrucējs var izpildīt komandas, kurām parasti būtu vajadzīgas administratora privilēģijas, un iegūt pilnīgu My Cloud ierīces kontroli. Problēma tika atklāta, mainot CGI bināros failus, lai meklētu drošības problēmas.

Sīkāka informācija

Katru reizi, kad administrators autentificējas, tiek izveidota servera puses sesija, kas ir piesaistīta lietotāja IP adresei. Kad sesija ir izveidota, ir iespējams piezvanīt uz autentificētiem CGI moduļiem, nosūtot lietotājvārdu = admin sīkfailu HTTP pieprasījumā. Izsauktā CGI pārbaudīs, vai ir derīga sesija un vai tā ir saistīta ar lietotāja IP adresi.

Tika atklāts, ka neautentificēts uzbrucējs var izveidot derīgu sesiju, nepiesakoties. CGI modulis network_mgr.cgi satur komandu ar nosaukumu cgi_get_ipv6, kas sāk administrēšanas sesiju, kas ir piesaistīta pieprasījuma iesniedzēja IP adresei, kad izsaukts ar parametra karogu, kas ir vienāds ar nākamo. Komandu turpmāka izsaukšana, kas parasti būtu nepieciešama Tagad administratora privilēģijas tiks atļautas, ja uzbrucējs iestata lietotājvārdu = admin sīkfailu, kas būtu kūka gabals jebkuram hakerim.

Pašlaik problēma nav atrisināta, līdz tiek gaidīts firmware atjauninājums no Western Digital.

Guru3D fonts

Intel ir atklāta kritiska ievainojamība

Intel ir atklāta kritiska ievainojamība

Intel ir atklāta kritiska ievainojamība. Viņi atklāj Intel kritisko ievainojamību tā attālajos pakalpojumos. Uzziniet vairāk tagad.

Ubuntu pieteikšanās lapā ir atklāta ievainojamība

Ubuntu pieteikšanās lapā ir atklāta ievainojamība

Ubuntu pieteikšanās lapā ir atklāta ievainojamība. Atklājiet jauno Ubuntu atklāto ievainojamību. Vairāk informācijas šeit.

Windows 10 paroļu pārvaldniekā ir atklāta ievainojamība

Windows 10 paroļu pārvaldniekā ir atklāta ievainojamība

Windows 10 paroli pārvaldniekā ir atklāta ievainojamība. Uzziniet vairāk par paroli pārvaldniekā atrasto kļūdu.

Klēpjdatori

Izvēle redaktors

Vai HTC zaudē interesi par Windows Phone?

Vai HTC zaudē interesi par Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Attēli, kas varētu būt jaunais Nokia Lumia EOS

Attēli, kas varētu būt jaunais Nokia Lumia EOS

2024
Build 2013 ierīces: gaida ražotājus

Build 2013 ierīces: gaida ražotājus

2024
Back to top button