Laptops

Western Digital My Cloud Passwords-kwetsbaarheid ontdekt

2025
Western Digital My Cloud Passwords-kwetsbaarheid ontdekt

Inhoudsopgave:

Anonim

Western Digital My Cloud- apparaten bleken te zijn aangetast door een authenticatieprobleem. Een hacker kan via de webportal volledige administratieve toegang tot de schijf krijgen zonder een wachtwoord te hoeven gebruiken, waardoor hij volledige controle over het My Cloud- apparaat krijgt.

Western Digital My Cloud met beveiligingsproblemen

Dit beveiligingslek is met succes geverifieerd op een Western Digital My Cloud WDBCTL0020HWT-model met firmwareversie 2.30.172. Dit probleem is niet beperkt tot één enkel model, aangezien de meeste My Cloud-serie-producten dezelfde code en dus hetzelfde beveiligingsprobleem delen.

Western Digital My Cloud is een voordelig, op het netwerk aangesloten opslagapparaat. Onlangs is ontdekt dat een gebruiker met enige kennis eenvoudig via het web kan inloggen en een administratiesessie kan maken die is gekoppeld aan een IP-adres. Door misbruik te maken van dit probleem, kan een niet-geverifieerde aanvaller opdrachten uitvoeren die normaal gesproken beheerdersrechten vereisen en volledige controle over het My Cloud- apparaat krijgen. Het probleem is ontdekt tijdens het reverse-engineeren van CGI-binaire bestanden om te zoeken naar beveiligingsproblemen.

De details

Elke keer dat een beheerder zich aanmeldt, wordt er een server-side sessie gemaakt die is gekoppeld aan het IP-adres van de gebruiker. Zodra de sessie is gemaakt, is het mogelijk om de geverifieerde CGI-modules aan te roepen door de gebruikersnaam = admin-cookie te verzenden in het HTTP-verzoek. De aangeroepen CGI controleert of er een geldige sessie aanwezig is en is gekoppeld aan het IP-adres van de gebruiker.

Er werd ontdekt dat een niet-geverifieerde aanvaller een geldige sessie kan maken zonder in te loggen. De CGI-module network_mgr.cgi bevat een opdracht met de naam cgi_get_ipv6 die een beheersessie start die is gebonden aan het IP-adres van de aanvragende gebruiker wanneer deze wordt aangeroepen met de parametervlag gelijk aan 1. De daaropvolgende aanroep van opdrachten die normaal gesproken nodig zouden zijn Beheerdersrechten zouden nu worden geautoriseerd als een aanvaller de gebruikersnaam = admin-cookie instelt, wat een fluitje van een cent zou zijn voor elke hacker.

Op dit moment is het probleem niet opgelost, in afwachting van een firmware-update van Western Digital.

Guru3D-lettertype

Western Digital lanceert mijn cloud ext2 ultra nas

Western Digital lanceert mijn cloud ext2 ultra nas

Western Digital My Cloud Ext2 Ultra NAS aangekondigd met twee bays voor harde schijven en ondersteuning voor maximaal 12Tb capaciteit.

Ernstige beveiligingsfout ontdekt in wd's mijn cloud nas-schijven

Ernstige beveiligingsfout ontdekt in wd's mijn cloud nas-schijven

Het blijkt dat door deze beveiligingsfout op apparaten met My Cloud NAS iedereen zich bij het apparaat kan aanmelden met gebruikersnaam mydlinkBRionyg en wachtwoord abc12345cba.

Hyper x alpha cloud s, de lijn van cloud gaming-hoofdtelefoons is vernieuwd

Hyper x alpha cloud s, de lijn van cloud gaming-hoofdtelefoons is vernieuwd

Hyper X zal binnenkort een nieuwe gaming-headset aanbieden, de Alpha Cloud S. Een headset die het ontwerp van de cloud opneemt met enkele verbeteringen.

Laptops

Bewerkers keuze

Verliest HTC interesse in Windows Phone?

Verliest HTC interesse in Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Afbeeldingen van wat de nieuwe Nokia Lumia EOS zou kunnen zijn

Afbeeldingen van wat de nieuwe Nokia Lumia EOS zou kunnen zijn

2025
Build 2013-apparaten: wachten op fabrikanten

Build 2013-apparaten: wachten op fabrikanten

2025
Back to top button