Laptopok

Felfedezték a Western Digital felhő jelszavaim biztonsági rését

2024
Felfedezték a Western Digital felhő jelszavaim biztonsági rését

Tartalomjegyzék:

Anonim

Megállapítottuk, hogy a Western Digital My Cloud eszközöket hitelesítési biztonsági rés érinti. A hackerek teljes adminisztrációs hozzáférést szerezhetnek a lemezen a webportálon keresztül anélkül, hogy jelszót kellene használniuk, és ezzel teljes mértékben megszerezhetik a My Cloud eszköz irányítását.

Western Digital My Cloud biztonsági kérdésekkel

A biztonsági rést a Western Digital My Cloud WDBCTL0020HWT 2.30.172-es firmware verziót futtató modelljén sikeresen ellenőrizték. Ez a probléma nem korlátozódik egyetlen modellre, mivel a My Cloud sorozat legtöbb termékének ugyanaz a kódja van, tehát ugyanaz a biztonsági probléma.

A Western Digital My Cloud egy olcsó, hálózathoz csatlakoztatott tárolóeszköz. Nemrég fedezték fel, hogy bizonyos ismeretekkel rendelkező felhasználó könnyen bejelentkezhet az interneten keresztül, és létrehozhat egy IP-címhez kapcsolt adminisztrációs munkamenetet. A probléma kihasználásával a nem hitelesített támadó olyan parancsokat hajthat végre, amelyek általában rendszergazdai jogosultságokat igényelnek, és teljes ellenőrzést kapnak a My Cloud eszköz felett. A problémát akkor fedezték fel, amikor a CGI bináris fájlokat visszafordítottuk a biztonsági kérdések megkeresésére.

A részletek

Minden alkalommal, amikor egy rendszergazda hitelesít, létrehoz egy szerveroldali munkamenetet, amely a felhasználó IP-címéhez van kötve. A munkamenet létrehozása után fel lehet hívni a hitelesített CGI-modulokat a felhasználónév = admin süti elküldésével a HTTP kérésben. A meghívott CGI ellenőrzi, hogy van-e érvényes munkamenet, és kapcsolódik-e a felhasználó IP-címéhez.

Felfedezték, hogy egy nem hitelesített támadó bejelentkezés nélkül létrehozhat érvényes munkamenetet. A network_mgr.cgi CGI modul egy cgi_get_ipv6 nevű parancsot tartalmaz, amely elindít egy adminisztrációs szekciót, amely a kérõ felhasználó IP-címéhez van kötve, amikor az 1-es paraméter-jelzõvel hívja meg. A rendszergazdai jogosultságok mostantól fel lesznek hatalmazva, ha a támadó beírja a felhasználónév = admin cookie-t, ami minden hackeres tortának lenne.

Jelenleg a Western Digital firmware frissítéséig nem oldották meg a problémát.

Guru3D betűtípus

A Microsoft biztonsági rést jelenít meg 55 biztonsági rés számára

A Microsoft biztonsági rést jelenít meg 55 biztonsági rés számára

A Microsoft biztonsági rést jelenít meg 55 biztonsági rés számára. Az orosz kémek legutóbbi támadása a biztonság fokozódásához vezetett.

A Windows kiad egy 96 biztonsági rést lefedő biztonsági javítást

A Windows kiad egy 96 biztonsági rést lefedő biztonsági javítást

A Windows kiad egy 96 biztonsági rést lefedő biztonsági javítást. Tudjon meg többet a Microsoft által kiadott új biztonsági javításról.

A Microsoft kijavítja a Windows 7 összeomlási biztonsági rését

A Microsoft kijavítja a Windows 7 összeomlási biztonsági rését

A Microsoft új frissítést adott ki a Meltdownhoz kapcsolódó Windows 7 biztonsági probléma kijavításához.

Laptopok

Választható editor

A HTC elveszti érdeklődését a Windows Phone iránt?

A HTC elveszti érdeklődését a Windows Phone iránt?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Képek arról, hogy mi lehet az új Nokia Lumia EOS

Képek arról, hogy mi lehet az új Nokia Lumia EOS

2024
Build 2013 eszközök: gyártókra vár

Build 2013 eszközök: gyártókra vár

2024
Back to top button