Descoperit vulnerabilitatea parolelor cloud cloud occidentale
Cuprins:
Dispozitivele Western Digital My Cloud au fost afectate de o vulnerabilitate de autentificare. Un hacker ar putea obține acces administrativ complet pe disc prin portalul web fără a fi nevoie să utilizeze o parolă, obținând astfel controlul complet asupra dispozitivului My Cloud.
Western Digital My Cloud cu probleme de securitate
Această vulnerabilitate a fost verificată cu succes pe un model Western Digital My WDBCTL0020HWT care rulează versiunea de firmware 2.30.172. Această problemă nu se limitează la un singur model, deoarece majoritatea produselor din seria My Cloud au același cod și, prin urmare, aceeași problemă de securitate.
Western Digital My Cloud este un dispozitiv de stocare low-cost, atașat la rețea. S-a descoperit recent că un utilizator cu anumite cunoștințe se poate conecta cu ușurință prin web și poate crea o sesiune de administrare care este conectată la o adresă IP. Prin exploatarea acestei probleme, un atacator neautentificat poate executa comenzi care ar necesita în mod normal privilegii de administrator și să obțină controlul complet asupra dispozitivului My Cloud. Problema a fost descoperită în timpul binarelor CGI de inginerie inversă pentru a căuta probleme de securitate.
Detaliile
De fiecare dată când un administrator se autentifică, se creează o sesiune din partea serverului care este legată de adresa IP a utilizatorului. Odată creată sesiunea, este posibil să apelați la modulele CGI autentificate trimițând numele de utilizator = cookie-ul admin în cererea HTTP. CGI invocat va verifica dacă este prezentă o sesiune validă și legată de adresa IP a utilizatorului.
S-a descoperit că un atacator neautentificat poate crea o sesiune valabilă fără a fi nevoie să se autentifice. Modulul CGI network_mgr.cgi conține o comandă numită cgi_get_ipv6 care începe o sesiune de administrare care este legată la adresa IP a utilizatorului solicitant atunci când este invocată cu indicatorul parametrului egal cu 1. Invocarea ulterioară a comenzilor care în mod normal ar necesita Privilegiile de administrator ar fi acum autorizate dacă un atacator stabilește numele de utilizator = cookie-ul admin, care ar fi o bucată de tort pentru orice hacker.
Momentan, problema nu a fost rezolvată, în așteptarea actualizării firmware-ului de la Western Digital.
Font Guru3DMozilla firefox 51: mai ușor, suport flac și gestionarea parolelor
Mozilla Firefox 51 este deja printre noi, noua versiune a unuia dintre cele mai bune browsere de internet utilizate în prezent.
Verificarea parolelor vă avertizează dacă datele dvs. de acreditare sunt compromise
Verificare parolă disponibilă acum în Magazinul Chrome, avertizați dacă datele dvs. de acreditare sunt compromise în oricare dintre încălcările datelor
Google Chrome va permite exportarea parolelor în curând
Google Chrome va permite exportarea parolelor în curând. Aflați mai multe despre acest instrument care va ajunge în curând în browserul de pe Android.
