Bærbare computere

Western digital min cloud-adgangskode sårbarhed opdaget

2025
Western digital min cloud-adgangskode sårbarhed opdaget

Indholdsfortegnelse:

Anonim

Western Digital My Cloud- enheder viste sig at være påvirket af en autentificeringssårbarhed. En hacker kunne få fuld administrativ adgang til disken gennem webportalen uden at skulle bruge et kodeord og dermed få fuld kontrol over My Cloud- enheden.

Western Digital My Cloud med sikkerhedsproblemer

Denne sårbarhed blev verificeret med en Western Digital My Cloud WDBCTL0020HWT-model, der kører firmwareversion 2.30.172. Dette problem er ikke begrænset til en enkelt model, da de fleste af My Cloud-serien har samme kode og derfor det samme sikkerhedsproblem.

Western Digital My Cloud er en lavprisforbundet lagerenhed, der er billig. Det blev for nylig opdaget, at en bruger med en vis viden let kunne logge ind via internettet og oprette en administrationssession, der er knyttet til en IP-adresse. Ved at udnytte dette problem kan en ikke-godkendt hacker udføre kommandoer, der normalt kræver administratorrettigheder og får fuld kontrol over My Cloud- enheden. Problemet blev opdaget, mens CGI-binære reverse engineering var for at kigge efter sikkerhedsproblemer.

Detaljerne

Hver gang en administrator autentificerer, oprettes en session på serversiden, der er bundet til brugerens IP-adresse. Når sessionen er oprettet, er det muligt at kalde de godkendte CGI-moduler ved at sende brugernavnet = admin-cookien i HTTP-anmodningen. Den påberåbte CGI vil kontrollere, om der er en gyldig session og linket til brugerens IP-adresse.

Det blev opdaget, at en ikke-godkendt hacker kan oprette en gyldig session uden at skulle logge ind. CGI-modulet netværk_mgr.cgi indeholder en kommando kaldet cgi_get_ipv6, der starter en administrationssession, der er bundet til IP-adressen til den anmodende bruger, når den kaldes med parameterflaget lig med 1. Den efterfølgende påkaldelse af kommandoer, der normalt kræver Administratorrettigheder vil nu blive autoriseret, hvis en angriber angiver brugernavnet = admin cookie, hvilket ville være et stykke kage for enhver hacker.

I øjeblikket er problemet ikke løst i afventning af en firmwareopdatering fra Western Digital.

Guru3D Skrifttype

Western digital lancerer min cloud ext2 ultra nas

Western digital lancerer min cloud ext2 ultra nas

Western Digital My Cloud Ext2 Ultra NAS annonceret med to harddiskbakker og support til op til 12 TB kapacitet.

Ny sårbarhed opdaget på skype

Ny sårbarhed opdaget på skype

Ny sårbarhed opdaget på Skype. Oplev den nye sårbarhed, der påvirker Skype-brugere og den fare, den indeholder.

Opdaget en trojan, der inficerer din pc på grund af en sårbarhed i powerpoint

Opdaget en trojan, der inficerer din pc på grund af en sårbarhed i powerpoint

Opdaget en trojan, der inficerer din pc på grund af en sårbarhed i PowerPoint. Find ud af mere om denne Trojan, der påvirker denne sårbarhed.

Bærbare computere

Valg af editor

Er HTC ved at miste interessen for Windows Phone?

Er HTC ved at miste interessen for Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Billeder af, hvad der kunne være den nye Nokia Lumia EOS

Billeder af, hvad der kunne være den nye Nokia Lumia EOS

2025
Byg 2013-enheder: venter på producenter

Byg 2013-enheder: venter på producenter

2025
Back to top button