Noll
Western Digital har släppt en hotfix för att lösa ett allvarligt autentisering bypass sårbarhet i Min Cloud sortiment som tillåter en angripare att kapa och ta full kontroll över en sårbar enhet.
Tech jätten sade i slutet av förra veckan att felet, CVE-2018-17153, kommer att lösas genom en nedladdningsbar snabbkorrigeringen.
Plåstret kommer också att ingå i en over-the-air (OTA) uppdateringen i standard-MyCloud firmware uppgradering schema.
Sårbarheten, CVE-2018-17153, som beskrivs som ett autentisering bypass säkerhetsbrist. När administratörer loggar in på Min Cloud platform, är en server-side-session skapas som är bunden till deras IP-adress.
Se även: Magecart hävdar annat offer i Newegg merchant datastöld
Oautentiserad angripare kan skapa giltiga sessioner utan att behöva logga in med lösenord och har även möjlighet att ringa autentiserade CGI-moduler genom att skicka en anpassad cookie i HTTP-begäran.
TechRepublic: Hur man automatiserar inställning av en firmware lösenord på Apple-datorer
“Network_mgr.cgi CGI-modulen innehåller ett kommando som heter “cgi_get_ipv6”, som startar en admin session — knuten till den IP-adress som användaren gör förfrågan — om ytterligare parameter “flagga” med värdet “1” är” en beskrivning av felet, posted on MITRE, läser. “Efterföljande anrop av kommandon som normalt kräver administratörsbehörighet nu lyckas om en angripare anger användarnamn=admin cookie.”
Om exploaterade, angripare kan komma åt Mina Moln kontroll plattform utan behovet av legitima referenser, mixtra med inställningar för enheten som om de besatt admin-privilegier, flash firmware, och utföra andra skadliga aktiviteter.
CNET: Google varnar OSS senatorer av utländska hackare riktar sina Gmail-konton
Western Digital My Cloud enheter som innehåller den fasta programvaran innan 2.30.196 påverkas.
Sårbarheten har varit ouppdaterad i över ett år och var ursprungligen upptäcktes av säkerhet forskare Remco Vermeulen. Trots en privat utlämnande nära ett år sedan. Vermeulen sade att WD – “inte tar säkerhet på största allvar” och “vägrade att erkänna eller fixa hitta.”
WD meddelat ett inkommande snabbkorrigeringen efter rapporter i media om allvarliga säkerhetsproblem. Forskaren sade i svaret, “Tack för heads up. Är det också möjligt att tilldela en enda kontaktpunkt för framtida ansvarig upplysningar?.” I skrivande stund har företaget inte svarat offentligt.
Om du vill uppdatera manuellt, firmware-uppdateringar är listade nedan.
Snabbkorrigeringen måste packas upp och sparas under .bin-format. Användare då behovet av att öppna upp Mitt Moln dashboard-gränssnittet, gå till inställningar och “firmware update” och ladda upp den filen.
Min Cloud FW 2.30.196 Mina Moln Spegel Gen2 FW 2.30.196 Min Cloud EX2 Ultra FW 2.30.196 Min Cloud EX2100 FW 2.30.196 Min Cloud EX4100 FW 2.30.196 Min Cloud DL2100 FW 2.30.196 Min Cloud DL4100 FW 2.30.196 Min Cloud PR2100 FW 2.30.196 Min Cloud PR4100 FW 2.30.196
I juni, Western Digital avslöjade ny 10TB och 12TB enheter utformade för att stödja arbetsbelastning krav på DVR och NVR-system som har artificiell intelligens (AI) förmåga.
ZDNet har nått ut till WD med ytterligare frågor och kommer att uppdatera om vi hör av sig igen.
Tidigare och relaterade täckning
Denna ryska botnet härmar du klicka för att förhindra Android-enhet fabrik återställs tar du Bort dig själv från människor söka webbplatser och radera dina online-närvaro NSS Labs filer stämning över påstådda CrowdStrike, Symantec, ESET produkt testa konspiration
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0