Laptopów

Odkryto lukę w zabezpieczeniach zachodnich cyfrowych haseł w chmurze

2024
Odkryto lukę w zabezpieczeniach zachodnich cyfrowych haseł w chmurze

Spisu treści:

Anonim

Stwierdzono, że podatność na uwierzytelnienie dotyczy urządzeń Western Digital My Cloud. Haker może uzyskać pełny dostęp administracyjny do dysku za pośrednictwem portalu internetowego bez konieczności używania hasła, uzyskując w ten sposób pełną kontrolę nad urządzeniem My Cloud.

Western Digital My Cloud z problemami bezpieczeństwa

Luka została pomyślnie zweryfikowana w modelu Western Digital My Cloud WDBCTL0020HWT z oprogramowaniem układowym w wersji 2.30.172. Ten problem nie ogranicza się do jednego modelu, ponieważ większość produktów z serii My Cloud ma ten sam kod, a zatem ten sam problem bezpieczeństwa.

Western Digital My Cloud to tanie, podłączone do sieci urządzenie pamięci masowej. Niedawno odkryto, że użytkownik z pewną wiedzą może łatwo zalogować się przez Internet i utworzyć sesję administracyjną połączoną z adresem IP. Korzystając z tego problemu, nieuwierzytelniony atakujący może wykonywać polecenia, które normalnie wymagają uprawnień administratora i uzyskać pełną kontrolę nad urządzeniem My Cloud. Problem został wykryty podczas inżynierii wstecznej plików binarnych CGI w celu wyszukania problemów związanych z bezpieczeństwem.

Szczegóły

Za każdym razem, gdy administrator uwierzytelnia się, tworzona jest sesja po stronie serwera powiązana z adresem IP użytkownika. Po utworzeniu sesji można wywoływać uwierzytelnione moduły CGI, wysyłając nazwę użytkownika = admin cookie w żądaniu HTTP. Wywołany CGI sprawdzi, czy istnieje aktualna sesja i jest połączona z adresem IP użytkownika.

Odkryto, że nieuwierzytelniony atakujący może utworzyć prawidłową sesję bez konieczności logowania. Moduł CGI network_mgr.cgi zawiera polecenie o nazwie cgi_get_ipv6, które uruchamia sesję administracyjną, która jest powiązana z adresem IP żądającego użytkownika, gdy jest wywoływana z flagą parametru równą 1. Kolejne wywołanie poleceń, które normalnie wymagałyby Uprawnienia administratora byłyby teraz autoryzowane, jeśli osoba atakująca ustawi plik cookie username = admin, co byłoby bułką z masłem dla każdego hakera.

W tej chwili problem nie został rozwiązany w oczekiwaniu na aktualizację oprogramowania Western Digital.

Guru3D Font

Projekt Google zero odkrywa lukę w zabezpieczeniach systemu Windows 10 s

Projekt Google zero odkrywa lukę w zabezpieczeniach systemu Windows 10 s

Program Google Project Zero napotkał błąd o średnim poziomie ważności w systemach Windows 10 S z włączoną funkcją integralności kodu trybu użytkownika (UMCI).

W OnePlus 6 wykryto krytyczną lukę w zabezpieczeniach

W OnePlus 6 wykryto krytyczną lukę w zabezpieczeniach

W OnePlus 6. wykryto krytyczną lukę w zabezpieczeniach. Dowiedz się więcej o usterce bezpieczeństwa, która ma wpływ na Twój telefon, którą wkrótce należy naprawić.

Odkryto lukę w instalatorze Fortnite dla Androida

Odkryto lukę w instalatorze Fortnite dla Androida

Odkryto lukę w instalatorze Fortnite na Androida. Dowiedz się więcej o tej usterce zabezpieczeń gry Epic Games.

Laptopów

Wybór redaktorów

Czy HTC traci zainteresowanie Windows Phone?

Czy HTC traci zainteresowanie Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Zdjęcia tego, co może być nowym telefonem Nokia Lumia EOS

Zdjęcia tego, co może być nowym telefonem Nokia Lumia EOS

2024
Urządzenia z 2013 r.: czekają na producentów

Urządzenia z 2013 r.: czekają na producentów

2024
Back to top button