Bärbara datorer

Western digital min moln lösenord sårbarhet upptäckt

2025
Western digital min moln lösenord sårbarhet upptäckt

Innehållsförteckning:

Anonim

Western Digital My Cloud- enheter visade sig påverkas av en autentiseringssårbarhet. En hackare kan få full administrativ åtkomst till disken via webbportalen utan att behöva använda ett lösenord och därmed få full kontroll över My Cloud- enheten.

Western Digital My Cloud med säkerhetsproblem

Denna sårbarhet verifierades framgångsrikt på en Western Digital My Cloud WDBCTL0020HWT-modell som kör firmwareversion 2.30.172. Problemet är inte begränsat till en enda modell, eftersom de flesta av My Cloud-serien har samma kod och därför samma säkerhetsproblem.

Western Digital My Cloud är en lågkostnadsansluten lagringsenhet. Det upptäcktes nyligen att en användare med viss kunskap lätt kunde logga in via webben och skapa en administrationssession som är länkad till en IP-adress. Genom att utnyttja detta problem kan en obekräftad angripare köra kommandon som normalt kräver administratörsbehörighet och får full kontroll över My Cloud- enheten. Problemet upptäcktes under omvänd teknik CGI-binärer för att leta efter säkerhetsproblem.

Detaljerna

Varje gång en administratör autentiseras skapas en session på serversidan som är knuten till användarens IP-adress. När sessionen har skapats är det möjligt att ringa de autentiserade CGI-modulerna genom att skicka användarnamnet = admin-cookien i HTTP-begäran. Den aktiverade CGI kommer att kontrollera om en giltig session är närvarande och länkad till användarens IP-adress.

Det upptäcktes att en oautentiserad angripare kan skapa en giltig session utan att behöva logga in. CGI-modulen nätverk_mgr.cgi innehåller ett kommando som heter cgi_get_ipv6 som startar en administrationssession som är bunden till IP-adressen för den begärande användaren när den anropas med parameterflaggan lika med 1. Den efterföljande anropen av kommandon som normalt kräver Administratörsbehörighet skulle nu godkännas om en angripare ställer in användarnamnet = admin cookie, vilket skulle vara en kaka för alla hacker.

För tillfället har problemet inte lösts i väntan på en firmwareuppdatering från Western Digital.

Guru3D typsnitt

Western Digital lanserar mitt moln ext2 ultra nas

Western Digital lanserar mitt moln ext2 ultra nas

Western Digital My Cloud Ext2 Ultra NAS tillkännagav med två hårddiskfack och stöd för upp till 12 TB kapacitet.

Ny sårbarhet upptäckt på skype

Ny sårbarhet upptäckt på skype

Ny sårbarhet upptäckt på Skype. Upptäck den nya sårbarheten som påverkar Skype-användare och risken.

Ny sårbarhet upptäckt i Intel-processorer

Ny sårbarhet upptäckt i Intel-processorer

En ny sårbarhet har upptäckts i Intel-processorer, denna gång relaterade till UEFI BIOS-chip.

Bärbara datorer

Redaktörens val

Tappar HTC intresset för Windows Phone?

Tappar HTC intresset för Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Bilder på vad som kan vara nya Nokia Lumia EOS

Bilder på vad som kan vara nya Nokia Lumia EOS

2025
Bygg 2013-enheter: väntar på tillverkare

Bygg 2013-enheter: väntar på tillverkare

2025
Back to top button