Odkrita je ranljivost za gesla v oblaku Western Digital
Kazalo:
Ugotovljeno je, da je pri napravah Western Digital My Cloud vplivala ranljivost preverjanja pristnosti. Heker bi lahko do spletnega portala dobil popoln administrativni dostop do diska, ne da bi potreboval geslo in s tem pridobil popoln nadzor nad napravo My Cloud.
Western Digital My Cloud z varnostnimi težavami
Ta ranljivost je bila uspešno preverjena na modelu WDBCTL0020HWT Western Digital My Cloud z različico vdelane programske opreme 2.30.172. Ta težava ni omejena na en model, saj ima večina izdelkov serije My Cloud isto kodo in s tem enako varnostno težavo.
Western Digital My Cloud je poceni, omrežno shranjena naprava. Pred kratkim je bilo odkrito, da se uporabnik z nekim znanjem zlahka prijavi prek spleta in ustvari sejo administracije, ki je povezana z naslovom IP. Z izkoriščanjem te težave lahko nepooblaščeni napadalec izvrši ukaze, ki običajno zahtevajo skrbniške pravice in dobijo popoln nadzor nad napravo My Cloud. Težava je bila odkrita med povratnim inženirskim CGI binarnim datotekam za iskanje varnostnih težav.
Podrobnosti
Vsakič, ko se administrator potrdi, se ustvari seja na strani strežnika, ki je vezana na uporabnikov IP-naslov. Ko je seja ustvarjena, je mogoče poklicati pristne CGI module s pošiljanjem piškotka uporabniško ime = administrator v zahtevi HTTP. Pokličeni CGI bo preveril, ali je prisotna veljavna seja in je povezana z uporabnikovim IP naslovom.
Ugotovljeno je bilo, da lahko nepooblaščeni napadalec ustvari veljavno sejo, ne da bi se moral prijaviti. Modul CGI network_mgr.cgi vsebuje ukaz imenovan cgi_get_ipv6, ki začne sejo upravljanja, ki je vezan na naslov IP uporabnika, ki prosi, ko se prikliče z zastavico parametra, ki je enaka 1. Naslednji priklic ukazov, ki običajno zahtevajo Administratorski privilegiji bi bili zdaj pooblaščeni, če napadalec nastavi piškotek uporabniško ime = admin, ki bi bil kos pogače za vsakega hekerja.
Trenutno težava ni bila rešena do čakanja na posodobitev vdelane programske opreme od Western Digital.
Guru3D PisavaRanljivost je bila odkrita na strani za prijavo ubuntu
Ranljivost je odkrita na prijavni strani Ubuntu. Odkrijte novo ranljivost, odkrito v Ubuntuju. Več informacij tukaj.
Nova ranljivost odkrita na skypeu
Nova ranljivost odkrita v Skypeu. Odkrijte novo ranljivost, ki vpliva na uporabnike Skypea, in nevarnost, ki jo vsebuje.
Nova ranljivost odkrita v procesorjih Intel
V Intelovih procesorjih je bila odkrita nova ranljivost, tokrat povezana z UEFI BIOS čipom.