Bola objavená zraniteľnosť hesiel v cloude Western Digital
Obsah:
Zistilo sa, že zariadenia Western Digital My Cloud boli ovplyvnené zraniteľnosťou pri overovaní. Hacker by mohol získať plný administratívny prístup na disk prostredníctvom webového portálu bez použitia hesla, čím by získal úplnú kontrolu nad zariadením My Cloud.
Western Digital My Cloud s problémami so zabezpečením
Táto chyba zabezpečenia bola úspešne overená na modeli Western Digital My Cloud WDBCTL0020HWT s verziou firmvéru 2.30.172. Tento problém sa neobmedzuje iba na jeden model, pretože väčšina produktov série My Cloud má rovnaký kód, a preto rovnaký problém so zabezpečením.
Western Digital My Cloud je lacné úložné zariadenie pripojené k sieti. Nedávno sa zistilo, že používateľ s určitými znalosťami sa môže ľahko prihlásiť cez web a vytvoriť administračnú reláciu, ktorá je spojená s IP adresou. Využitím tohto problému môže neoverený útočník vykonať príkazy, ktoré by za normálnych okolností vyžadovali oprávnenia správcu a získali úplnú kontrolu nad zariadením My Cloud. Tento problém bol objavený pri reverznom inžinierstve s binárnymi súbormi CGI s cieľom hľadať bezpečnostné problémy.
Podrobnosti
Zakaždým, keď sa správca autentifikuje, vytvorí sa relácia na strane servera, ktorá je prepojená s IP adresou používateľa. Po vytvorení relácie je možné volať autentifikované CGI moduly odoslaním súboru username = admin cookie v požiadavke HTTP. Vyvolaný CGI skontroluje, či je prítomná platná relácia a či je prepojená s IP adresou používateľa.
Zistilo sa, že neoverený útočník môže vytvoriť platnú reláciu bez toho, aby sa musel prihlásiť. Modul CGI network_mgr.cgi obsahuje príkaz s názvom cgi_get_ipv6, ktorý spustí reláciu správy, ktorá je pri vyvolaní s príznakom parametra rovná 1. Spustí sa relácia administrácie, ktorá je viazaná na IP adresu žiadajúceho používateľa. Následné vyvolanie príkazov, ktoré by za normálnych okolností vyžadovali Oprávnenia správcu by teraz boli autorizované, ak by útočník nastavil súbor cookie používateľského mena = admin, ktorý by bol pre všetkých hackerov hračkou.
Momentálne sa problém nevyriešil až do aktualizácie firmvéru od spoločnosti Western Digital.
Písmo Guru3DNa skype bola objavená nová zraniteľnosť
Na Skype bola objavená nová zraniteľnosť. Objavte novú zraniteľnosť, ktorá ovplyvňuje používateľov Skype a nebezpečenstvo, ktoré obsahuje.
Amd renoir, bola objavená celá zostava
Používateľ Reddit objavil grafické konfigurácie ďalšej generácie APU AMD Renoir.
V Správcovi hesiel systému Windows 10 bola zistená zraniteľnosť
V správcovi hesiel systému Windows 10 bola zistená chyba zabezpečenia. Ďalšie informácie o chybách nájdených v správcovi hesiel.
