Laptop

Digital Barat kerentanan kata sandi cloud saya ditemukan

2024
Digital Barat kerentanan kata sandi cloud saya ditemukan

Daftar Isi:

Anonim

Perangkat Western Digital My Cloud ditemukan terpengaruh oleh kerentanan otentikasi. Seorang hacker dapat memperoleh akses administratif penuh ke disk melalui portal web tanpa harus menggunakan kata sandi, sehingga mendapatkan kontrol penuh dari perangkat My Cloud.

Western Digital My Cloud dengan masalah keamanan

Kerentanan ini berhasil diverifikasi pada model Western Digital My Cloud WDBCTL0020HWT yang menjalankan firmware versi 2.30.172. Masalah ini tidak terbatas pada model tunggal, karena sebagian besar produk seri My Cloud berbagi kode yang sama, dan karenanya masalah keamanan yang sama.

Western Digital My Cloud adalah perangkat penyimpanan yang terhubung dengan jaringan dan berbiaya rendah. Baru-baru ini ditemukan bahwa pengguna dengan pengetahuan dapat dengan mudah masuk melalui web dan membuat sesi administrasi yang ditautkan ke alamat IP. Dengan mengeksploitasi masalah ini, penyerang yang tidak diautentikasi dapat menjalankan perintah yang biasanya memerlukan hak administrator dan mendapatkan kontrol penuh dari perangkat My Cloud. Masalahnya ditemukan ketika membalikkan rekayasa binari CGI untuk mencari masalah keamanan.

Detailnya

Setiap kali administrator mengesahkan, sesi sisi server dibuat yang terkait dengan alamat IP pengguna. Setelah sesi dibuat, dimungkinkan untuk memanggil modul CGI terotentikasi dengan mengirimkan cookie username = admin dalam permintaan HTTP. CGI yang dipanggil akan memeriksa apakah ada sesi yang valid dan tertaut dengan alamat IP pengguna.

Ditemukan bahwa penyerang yang tidak diautentikasi dapat membuat sesi yang valid tanpa harus login. Modul CGI network_mgr.cgi berisi perintah yang disebut cgi_get_ipv6 yang memulai sesi administrasi yang terikat dengan alamat IP pengguna yang meminta ketika dipanggil dengan flag parameter sama dengan 1. Doa selanjutnya dari perintah yang biasanya membutuhkan Hak istimewa administrator sekarang akan diotorisasi jika penyerang menetapkan nama pengguna = cookie cookie, yang akan menjadi sepotong kue untuk setiap hacker.

Saat ini, masalahnya belum terpecahkan, sambil menunggu pembaruan firmware dari Western Digital.

Font Guru3D

Digital Barat meluncurkan cloud ext2 ultra nas saya

Digital Barat meluncurkan cloud ext2 ultra nas saya

Western Digital My Cloud Ext2 Ultra NAS diumumkan dengan dua rongga hard drive dan dukungan untuk kapasitas hingga 12Tb.

85 aplikasi ditemukan di play store yang mencuri kata sandi

85 aplikasi ditemukan di play store yang mencuri kata sandi

Ditemukan 85 aplikasi di Play Store yang mencuri kata sandi. Cari tahu lebih lanjut tentang masalah keamanan baru di Play Store.

Kerentanan terdeteksi di manajer kata sandi windows 10

Kerentanan terdeteksi di manajer kata sandi windows 10

Kerentanan telah terdeteksi di pengelola kata sandi Windows 10. Cari tahu lebih lanjut tentang bug yang ditemukan di pengelola kata sandi.

Laptop

Pilihan Editor

Apakah HTC kehilangan minat pada Windows Phone?

Apakah HTC kehilangan minat pada Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Gambar yang mungkin menjadi Nokia Lumia EOS baru

Gambar yang mungkin menjadi Nokia Lumia EOS baru

2024
Membangun perangkat 2013: menunggu produsen

Membangun perangkat 2013: menunggu produsen

2024
Back to top button