Portàtils

Descobreixen vulnerabilitat en les contrasenyes de western digital my cloud

2025
Descobreixen vulnerabilitat en les contrasenyes de western digital my cloud

Taula de continguts:

Anonim

Es va descobrir que els dispositius Western Digital My Cloud estan sent afectats per una vulnerabilitat en l'autenticació. Un hacker podria obtenir accés administratiu complet a el disc a través de l'portal web sense haver d'usar una contrasenya, obtenint així el control total de l'dispositiu My Cloud.

Western Digital My Cloud amb problemes de seguretat

Aquesta vulnerabilitat va ser verificada amb èxit en un model Western Digital My Cloud WDBCTL0020HWT executant la versió 2.30.172 de l'microprogramari. Aquest problema no es limita a un unit model, ja que la majoria dels productes de la sèrie My Cloud comparteixen el mateix codi, i per tant, el mateix problema de seguretat.

Western Digital My Cloud és un dispositiu d'emmagatzematge connectat a la xarxa de baix cost. Recentment es va descobrir que un usuari amb certs coneixements podria iniciar sessió fàcilment via web i crear una sessió d'administració que estigui vinculada a una adreça IP. A l'explotar aquest problema, un atacant no autenticat pot executar ordres que normalment requeririen privilegis d'administrador i obtenir el control complet d'el dispositiu My Cloud. El problema es va descobrir mentre es realitzava enginyeria inversa dels binaris CGI per buscar problemes de seguretat.

els detalls

Cada vegada que s'autentica un administrador, es crea una sessió de la banda de el servidor que està vinculada a l'adreça IP de l'usuari. Un cop creada la sessió, és possible trucar als mòduls CGI autenticats enviant la galeta username = admin a la petició HTTP. El CGI invocat comprovarà si una sessió vàlida és present i vinculada a l'adreça IP de l'usuari.

Es va descobrir que és possible que un atacant no autenticat creï una sessió vàlida sense necessitat d'iniciar una sessió. El mòdul CGI network_mgr.cgi conté una ordre anomenat cgi_get_ipv6 que inicia una sessió d'administració que està vinculada a l'adreça IP de l'usuari que realitza la sol·licitud quan s'invoca amb l'indicador de paràmetre igual a 1. La invocació subsegüent de comandes que normalment requeririen privilegis d'administrador estarien ara autoritzades si un atacant estableix la galeta username = admin, una cosa que seria 'bufar i fer ampolles' per a qualsevol hacker.

De moment, el problema no ha estat solucionat, a l'espera d'una actualització de l'firmware per part de Western Digital.

font Guru3D

Descobreixen greu fallada de seguretat en les unitats mi cloud nes de wd

Descobreixen greu fallada de seguretat en les unitats mi cloud nes de wd

Resulta que aquesta falla en la seguretat dels dispositius amb My Cloud NAS permet que qualsevol pugui iniciar-vos al dispositiu amb el nom d'usuari mydlinkBRionyg i la contrasenya abc12345cba.

Descobreixen una greu vulnerabilitat en Android

Descobreixen una greu vulnerabilitat en Android

Descoberta una greu vulnerabilitat d'Android que afecta els processadors de Qualcomm i permet prendre i control de l'equip.

Detectada una vulnerabilitat en el gestor de contrasenyes de Windows 10

Detectada una vulnerabilitat en el gestor de contrasenyes de Windows 10

Detectada una vulnerabilitat en el gestor de contrasenyes de Windows 10. Descobreix més sobre la sentència detectat en el gestor de contrasenyes.

Portàtils

Selecció de l'editor

HTC està perdent l'interès a Windows Phone?

HTC està perdent l'interès a Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Imatges del que podria ser el nou Nokia Lumia EOS

Imatges del que podria ser el nou Nokia Lumia EOS

2025
Els dispositius de Build 2013: esperant els fabricants

Els dispositius de Build 2013: esperant els fabricants

2025
Back to top button