Nešiojamieji kompiuteriai

Aptiktas „Western digital“ mano debesų slaptažodžių pažeidžiamumas

2024
Aptiktas „Western digital“ mano debesų slaptažodžių pažeidžiamumas

Turinys:

Anonim

Buvo nustatyta, kad „ Western Digital My Cloud“ įrenginiams įtakos turi autentifikavimo pažeidžiamumas. Hakeris gali gauti visišką administracinę prieigą prie disko per interneto portalą, nenaudodamas slaptažodžio, tokiu būdu įgydamas visišką „ My Cloud“ įrenginio valdymą.

„Western Digital My Cloud“ su saugumo problemomis

Šis pažeidžiamumas buvo sėkmingai patikrintas naudojant „ Western Digital My Cloud“ WDBCTL0020HWT modelį, kuriame veikia 2.30.172 programinės įrangos versija. Ši problema neapsiriboja vienu modeliu, nes daugumai „My Cloud“ serijos produktų yra tas pats kodas, taigi ir ta pati saugumo problema.

„Western Digital My Cloud“ yra nebrangus, prie tinklo prijungtas saugojimo įrenginys. Neseniai buvo sužinota, kad tam tikrų žinių turintis vartotojas gali lengvai prisijungti per internetą ir sukurti administravimo sesiją, susietą su IP adresu. Išnaudodamas šią problemą, neautentifikuotas užpuolikas gali vykdyti komandas, kurioms paprastai reikalingos administratoriaus teisės, ir įgyti visišką „ My Cloud“ įrenginio valdymą. Problema buvo rasta vykdant atvirkštinio inžinerijos CGI dvejetainius failus saugumo problemoms ieškoti.

Detalės

Kiekvieną kartą administratoriui autentifikuojant, sukuriama serverio sesija, susieta su vartotojo IP adresu. Sukūrus sesiją, galima paskambinti į autentifikuotus CGI modulius, siunčiant vartotojo vardą = admin slapuką į HTTP užklausą. Iškviestas CGI patikrins, ar yra tinkama sesija ir ar ji susieta su vartotojo IP adresu.

Buvo nustatyta, kad neautentifikuotas užpuolikas gali sukurti teisingą sesiją neprisijungdamas. CGI modulyje „network_mgr.cgi“ yra komanda, vadinama cgi_get_ipv6, kuri pradeda administravimo sesiją, kuri yra susieta su prašančio vartotojo IP adresu, kai jam iškviečiama parametro vėliava lygi 1. Vėlesnis komandų, kurių paprastai prireiktų, sušaukimas Dabar bus suteiktos administratoriaus privilegijos, jei užpuolikas nustatys vartotojo vardą = admin slapuką, kuris būtų pyragėlis bet kuriam įsilaužėliui.

Šiuo metu problema nebuvo išspręsta, laukiant „ Western Digital“ programinės įrangos atnaujinimo.

„Guru3D“ šriftas

„Ubuntu“ prisijungimo puslapyje aptiktas pažeidžiamumas

„Ubuntu“ prisijungimo puslapyje aptiktas pažeidžiamumas

„Ubuntu“ prisijungimo puslapyje aptiktas pažeidžiamumas. Atraskite naują „Ubuntu“ aptiktą pažeidžiamumą. Daugiau informacijos rasite čia.

Aptiktas „ios 11“ pažeidžiamumas, susijęs su qr kodų skaitymu

Aptiktas „ios 11“ pažeidžiamumas, susijęs su qr kodų skaitymu

Aptiktas „iOS 11“ pažeidžiamumas, susijęs su QR kodų skaitymu. Sužinokite daugiau apie šią saugos spragą, ką tik aptiktą telefonuose su „iOS 11“.

„Windows 10“ slaptažodžių tvarkytuvėje aptiktas pažeidžiamumas

„Windows 10“ slaptažodžių tvarkytuvėje aptiktas pažeidžiamumas

„Windows 10“ slaptažodžių tvarkytuvėje buvo aptiktas pažeidžiamumas. Sužinokite daugiau apie slaptažodžių tvarkytuvėje rastą klaidą.

Nešiojamieji kompiuteriai

Pasirinkta redaktorius

Ar HTC praranda susidomėjimą „Windows Phone“?

Ar HTC praranda susidomėjimą „Windows Phone“?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Vaizdai, koks galėtų būti naujasis „Nokia Lumia EOS“.

Vaizdai, koks galėtų būti naujasis „Nokia Lumia EOS“.

2024
Build 2013 įrenginiai: laukia gamintojų

Build 2013 įrenginiai: laukia gamintojų

2024
Back to top button