Laptops

Western Digital meine Cloud-Passwörter Sicherheitslücke entdeckt

2024
Western Digital meine Cloud-Passwörter Sicherheitslücke entdeckt

Inhaltsverzeichnis:

Anonim

Es wurde festgestellt, dass Western Digital My Cloud- Geräte von einer Authentifizierungsanfälligkeit betroffen sind. Ein Hacker kann über das Webportal vollen Administratorzugriff auf die Festplatte erhalten, ohne ein Kennwort verwenden zu müssen, wodurch er die vollständige Kontrolle über das My Cloud- Gerät erhält.

Western Digital My Cloud mit Sicherheitsproblemen

Diese Sicherheitsanfälligkeit wurde erfolgreich auf einem Western Digital My Cloud WDBCTL0020HWT-Modell mit Firmware-Version 2.30.172 überprüft. Dieses Problem ist nicht auf ein einzelnes Modell beschränkt, da die meisten Produkte der My Cloud-Serie denselben Code und daher dasselbe Sicherheitsproblem verwenden.

Western Digital My Cloud ist ein kostengünstiges Speichergerät mit Netzwerkanschluss. Kürzlich wurde festgestellt, dass sich ein Benutzer mit einigen Kenntnissen problemlos über das Web anmelden und eine Verwaltungssitzung erstellen kann, die mit einer IP-Adresse verknüpft ist. Durch Ausnutzen dieses Problems kann ein nicht authentifizierter Angreifer Befehle ausführen, für die normalerweise Administratorrechte erforderlich sind, und die vollständige Kontrolle über das My Cloud- Gerät erlangen. Das Problem wurde beim Reverse Engineering von CGI-Binärdateien entdeckt, um nach Sicherheitsproblemen zu suchen.

Die Details

Jedes Mal, wenn sich ein Administrator authentifiziert, wird eine serverseitige Sitzung erstellt, die an die IP-Adresse des Benutzers gebunden ist. Sobald die Sitzung erstellt wurde, können Sie die authentifizierten CGI-Module aufrufen, indem Sie das Cookie Benutzername = admin in der HTTP-Anforderung senden. Das aufgerufene CGI prüft, ob eine gültige Sitzung vorhanden und mit der IP-Adresse des Benutzers verknüpft ist.

Es wurde festgestellt, dass ein nicht authentifizierter Angreifer möglicherweise eine gültige Sitzung erstellt, ohne sich anmelden zu müssen. Das CGI-Modul network_mgr.cgi enthält einen Befehl namens cgi_get_ipv6, der eine Verwaltungssitzung startet, die an die IP-Adresse des anfordernden Benutzers gebunden ist, wenn sie mit dem Parameterflag gleich 1 aufgerufen wird. Der nachfolgende Aufruf von Befehlen, die normalerweise erforderlich wären Administratorrechte werden jetzt autorisiert, wenn ein Angreifer das Cookie Benutzername = admin setzt, was für jeden Hacker ein Kinderspiel wäre.

Derzeit ist das Problem noch nicht gelöst, bis ein Firmware-Update von Western Digital vorliegt.

Guru3D Schriftart

Western Digital startet meine Cloud ext2 ultra nas

Western Digital startet meine Cloud ext2 ultra nas

Western Digital My Cloud Ext2 Ultra NAS mit zwei Festplattenschächten und Unterstützung für bis zu 12 TB Kapazität angekündigt.

Neue Sicherheitslücke in Skype entdeckt

Neue Sicherheitslücke in Skype entdeckt

Neue Sicherheitslücke in Skype entdeckt. Entdecken Sie die neue Sicherheitsanfälligkeit, die Skype-Benutzer betrifft, und die darin enthaltene Gefahr.

Schwerwiegende Sicherheitslücke in den Cloud-Laufwerken von wd entdeckt

Schwerwiegende Sicherheitslücke in den Cloud-Laufwerken von wd entdeckt

Es stellt sich heraus, dass diese Sicherheitslücke bei Geräten mit My Cloud NAS es jedem ermöglicht, sich mit dem Benutzernamen mydlinkBRionyg und dem Kennwort abc12345cba beim Gerät anzumelden.

Laptops

Die Wahl des Herausgebers

Verliert HTC das Interesse an Windows Phone?

Verliert HTC das Interesse an Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Bilder des neuen Nokia Lumia EOS

Bilder des neuen Nokia Lumia EOS

2024
Build 2013-Geräte: Warten auf Hersteller

Build 2013-Geräte: Warten auf Hersteller

2024
Back to top button