Kannettavat tietokoneet

Länsimaisen digitaalisen pilvis salasanani -haavoittuvuuteni löytyi

2025
Länsimaisen digitaalisen pilvis salasanani -haavoittuvuuteni löytyi

Sisällysluettelo:

Anonim

Todentamisheikkous havaittiin vaikuttaneen Western Digital My Cloud -laitteisiin. Hakkeri voi saada täydellisen järjestelmänvalvojan pääsyn levylle verkkoportaalin kautta käyttämättä salasanaa ja saaden siten täyden hallinnan My Cloud -laitteeseen.

Western Digital My Cloud -turvallisuuskysymykset

Tämä haavoittuvuus varmistettiin onnistuneesti Western Digital My Cloud WDBCTL0020HWT -mallilla, jolla on ohjelmistoversio 2.30.172. Tämä ongelma ei ole rajoitettu yhteen malliin, koska useimmilla My Cloud -sarjan tuotteilla on sama koodi ja siten sama turvallisuusongelma.

Western Digital My Cloud on edullinen, verkkoon liitetty tallennuslaite. Äskettäin havaittiin, että jonkin verran tietämystä omaava käyttäjä voi helposti kirjautua sisään webin kautta ja luoda IP-osoitteeseen linkitetyn hallintaistunnon. Hyödyntämällä tätä ongelmaa, todentamaton hyökkääjä voi suorittaa komentoja, jotka yleensä edellyttävät järjestelmänvalvojan oikeuksia ja saada täyden hallinnan My Cloud -laitteesta. Ongelma havaittiin, kun käänteinen suunnittelu CGI-binaareja etsimään turvallisuuskysymyksiä.

Yksityiskohdat

Joka kerta kun järjestelmänvalvoja todentaa käyttäjän, luodaan palvelinpuolen istunto, joka on sidottu käyttäjän IP-osoitteeseen. Kun istunto on luotu, on mahdollista soittaa todennettuihin CGI-moduuleihin lähettämällä käyttäjänimi = admin-eväste HTTP-pyynnössä. Käytetty CGI tarkistaa, onko voimassa oleva istunto läsnä ja linkitetty käyttäjän IP-osoitteeseen.

Todettiin, että todentamattomat hyökkääjät voivat luoda kelvollisen istunnon ilman, että sinun on kirjauduttava sisään. CGI-moduuli network_mgr.cgi sisältää komennon cgi_get_ipv6, joka aloittaa hallintaistunnon, joka on sidottu pyynnön esittävän käyttäjän IP-osoitteeseen, kun häntä kutsutaan parametrilipulla yhtä. Seuraava komentojen kutsuminen, joka yleensä vaatisi Järjestelmänvalvojan oikeudet olisi nyt valtuutettu, jos hyökkääjä asettaa käyttäjänimi = admin-evästeen, joka olisi pala kakkua mille tahansa hakkereille.

Tällä hetkellä ongelmaa ei ole ratkaistu, kunnes Western Digital on saanut firmware-päivityksen.

Guru3D-fontti

Kuinka nähdä salasanani wi

Kuinka nähdä salasanani wi

Monet käyttäjät ihmettelevät kuinka nähdä Wi-Fi-salasanani Androidilla. Tässä opetusohjelmassa kerromme sinulle, kuinka näet Wi-Fi-verkkojen salasanat.

Löytyi kaksi uutta verkkosivustoa, jotka tarjoavat verkkorikollisuuspalveluita

Löytyi kaksi uutta verkkosivustoa, jotka tarjoavat verkkorikollisuuspalveluita

Löytyi kaksi uutta verkkosivustoa, jotka tarjoavat verkkorikollisuuspalveluita. Lisätietoja näistä verkkosivustoista ja niiden tarjoamista palveluista.

Kuinka tietää wifi-salasanani askel askeleelta】 ⭐️

Kuinka tietää wifi-salasanani askel askeleelta】 ⭐️

Reitittimiemme avaimet voivat olla nahkaisia; Tästä syystä autamme vastaamaan kysymykseen: Kuinka tietää Wifi-salasanani?

Kannettavat tietokoneet

Toimittajan valinta

Onko HTC menettämässä kiinnostuksensa Windows Phonea kohtaan?

Onko HTC menettämässä kiinnostuksensa Windows Phonea kohtaan?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Kuvia siitä, mikä voisi olla uusi Nokia Lumia EOS

Kuvia siitä, mikä voisi olla uusi Nokia Lumia EOS

2025
Build 2013 -laitteet: odottaa valmistajia

Build 2013 -laitteet: odottaa valmistajia

2025
Back to top button