Laptops

Descoberta a vulnerabilidade das senhas na nuvem da Western Digital

2024
Descoberta a vulnerabilidade das senhas na nuvem da Western Digital

Índice:

Anonim

Os dispositivos Western Digital My Cloud foram afetados por uma vulnerabilidade de autenticação. Um hacker pode obter acesso administrativo completo ao disco através do portal da web sem precisar usar uma senha, ganhando assim o controle total do dispositivo My Cloud.

Western Digital My Cloud com problemas de segurança

Esta vulnerabilidade foi verificada com sucesso em um modelo WDBCTL0020HWT do Western Digital My Cloud executando a versão 2.30.172 do firmware. Esse problema não se limita a um único modelo, pois a maioria dos produtos da série My Cloud compartilha o mesmo código e, portanto, o mesmo problema de segurança.

O Western Digital My Cloud é um dispositivo de armazenamento conectado à rede e de baixo custo. Recentemente, foi descoberto que um usuário com algum conhecimento poderia facilmente fazer login via web e criar uma sessão de administração vinculada a um endereço IP. Ao explorar esse problema, um invasor não autenticado pode executar comandos que normalmente exigem privilégios de administrador e ganham controle total do dispositivo My Cloud. O problema foi descoberto durante a engenharia reversa dos binários CGI para procurar problemas de segurança.

Os detalhes

Sempre que um administrador se autentica, é criada uma sessão do lado do servidor vinculada ao endereço IP do usuário. Depois que a sessão é criada, é possível chamar os módulos CGI autenticados enviando o cookie username = admin na solicitação HTTP. O CGI chamado verificará se uma sessão válida está presente e vinculada ao endereço IP do usuário.

Foi descoberto que um invasor não autenticado pode criar uma sessão válida sem precisar fazer login. O módulo CGI network_mgr.cgi contém um comando chamado cgi_get_ipv6 que inicia uma sessão de administração vinculada ao endereço IP do usuário solicitante quando chamado com o sinalizador de parâmetro igual a 1. A chamada subsequente de comandos que normalmente exigiriam Agora, os privilégios de administrador seriam autorizados se um invasor definir o cookie username = admin, que seria muito fácil para qualquer hacker.

No momento, o problema não foi resolvido, enquanto se aguarda uma atualização de firmware da Western Digital.

Fonte Guru3D

Nova vulnerabilidade descoberta no skype

Nova vulnerabilidade descoberta no skype

Nova vulnerabilidade descoberta no Skype. Descubra a nova vulnerabilidade que afeta os usuários do Skype e o perigo que ela contém.

Nova vulnerabilidade descoberta em processadores intel

Nova vulnerabilidade descoberta em processadores intel

Uma nova vulnerabilidade foi descoberta nos processadores Intel, desta vez relacionados ao chip UEFI BIOS.

Descoberta duas novas variantes da vulnerabilidade espectro

Descoberta duas novas variantes da vulnerabilidade espectro

Continuamos a falar sobre vulnerabilidades relacionadas aos processadores. Desta vez, os pesquisadores de segurança encontraram dois novos: os pesquisadores de segurança encontraram duas novas vulnerabilidades nos processadores da Intel, relacionadas ao conhecido Spectre.

Laptops

Escolha dos editores

A HTC está perdendo interesse no Windows Phone?

A HTC está perdendo interesse no Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Imagens do que poderá ser o novo Nokia Lumia EOS

Imagens do que poderá ser o novo Nokia Lumia EOS

2024
Dispositivos Build 2013: aguardando fabricantes

Dispositivos Build 2013: aguardando fabricantes

2024
Back to top button