Western digital ang aking mga password sa ulap na kahinaan natuklasan
Talaan ng mga Nilalaman:
Ang mga aparatong Western Digital My Cloud ay natagpuan na apektado ng kahinaan ng pagpapatunay. Ang isang hacker ay maaaring makakuha ng buong administratibong pag-access sa disk sa pamamagitan ng web portal nang hindi kinakailangang gumamit ng isang password, at sa gayon nakakakuha ng ganap na kontrol ng aparato ng Aking Cloud.
Western Digital Aking Cloud na may mga isyu sa seguridad
Ang kahinaan na ito ay matagumpay na na-verify sa isang modelo ng Western Digital My Cloud WDBCTL0020HWT na nagpapatakbo ng bersyon ng firmware 2.30.172. Ang problemang ito ay hindi limitado sa isang solong modelo, dahil ang karamihan sa mga produkto ng serye ng Aking Cloud ay nagbabahagi ng parehong code, at samakatuwid ang parehong problema sa seguridad.
Ang Western Digital My Cloud ay isang mababang gastos, naka-kalakip na aparato sa imbakan. Ito ay kamakailan natuklasan na ang isang gumagamit na may ilang kaalaman ay madaling mag-log in sa web at lumikha ng isang sesyon ng pangangasiwa na naka-link sa isang IP address. Sa pamamagitan ng pagsasamantala sa problemang ito, ang isang hindi maipapatunay na nagsasalakay ay maaaring magsagawa ng mga utos na karaniwang nangangailangan ng mga pribilehiyo ng tagapangasiwa at makakuha ng ganap na kontrol sa aparato ng Aking Cloud. Ang problema ay natuklasan habang ang reverse engineering CGI binaries upang maghanap para sa mga isyu sa seguridad.
Ang mga detalye
Sa tuwing nagpapatunayan ang isang administrator, ang sesyon ng server-side ay nilikha na nakatali sa IP address ng gumagamit. Kapag nilikha ang session, posible na tawagan ang napatunayan na mga module ng CGI sa pamamagitan ng pagpapadala ng username = admin cookie sa kahilingan ng HTTP. Susuriin ng hinihinging CGI kung naroroon ang isang wastong session at naka-link sa IP address ng gumagamit.
Napag-alaman na ang isang hindi natukoy na pag-atake ay maaaring lumikha ng isang wastong session na hindi kinakailangang mag-log in. Ang CGI module network_mgr.cgi ay naglalaman ng isang utos na tinatawag na cgi_get_ipv6 na nagsisimula ng isang sesyon ng pangangasiwa na nakasalalay sa IP address ng humihiling na gumagamit kapag naimbitahan sa watawat ng parameter na katumbas ng 1. Ang kasunod na pag-imbita ng mga utos na karaniwang nangangailangan ng Ang mga pribilehiyo ng tagapangasiwaan ay magiging awtorisado kung ang isang magsasalakay ay nagtatakda ng username = admin cookie, na magiging isang piraso ng cake para sa anumang hacker.
Sa ngayon, ang problema ay hindi pa lutasin, naghihintay ng isang pag-update ng firmware mula sa Western Digital.
Font ng Guru3DMalubhang pagkawasak ng seguridad na natuklasan sa aking ulap na nag-mamaneho
Ito ay lumilitaw na ang kapintasan na ito sa seguridad ng mga aparato gamit ang Aking Cloud NAS ay nagbibigay-daan sa sinuman na mag-login sa aparato gamit ang username mydlinkBRionyg at password abc12345cba.
Ang ulap at orakong ulap ay nakikipagtulungan upang magbigay ng amd epyc-based na alay na ulap
Ang Forrest Norrod ng AMD at Clay Magouyrk ng Oracle ay inihayag ang pagkakaroon ng mga unang pagkakataon ng kagamitan na nakabase sa EPYC sa imprastraktura ng Oracle Cloud.
Ang Gigabyte ay nagpapatupad ng mga hakbang sa seguridad laban sa mga kahinaan sa intel at ako mga kahinaan sa seguridad
Ang GIGABYTE TECHNOLOGY Co Ltd., isang nangungunang tagagawa ng mga motherboards at graphics card, ay nagpatupad ng mga hakbang sa seguridad na nakahanay sa
