Zero
Western Digital ha rilasciato un hotfix per risolvere una grave vulnerabilità di bypass dell’autenticazione nel Mio Cloud linea di prodotti che consente agli aggressori di hijack e prendere il pieno controllo di un vulnerabili dispositivo.
Il gigante tecnologico ha detto la scorsa settimana che il bug, CVE-2018-17153, saranno risolti attraverso il download un aggiornamento rapido (hotfix).
La patch sarà anche incluso in un over-the-air (OTA) aggiornamento in standard MyCloud aggiornamento del firmware di pianificazione.
La vulnerabilità CVE-2018-17153, è descritto come un bypass dell’autenticazione falla di sicurezza. Quando gli amministratori di accedere al Mio piattaforma Cloud, una sessione lato server è creato, che è legato al loro indirizzo IP.
Vedi anche: Magecart sostiene un’altra vittima in Newegg commerciante furto di dati
Non autenticato attaccanti sono in grado di creare sessioni valide senza login con una password, e sono anche in grado di chiamare autenticato CGI moduli mediante l’invio di un apposito cookie nella richiesta HTTP.
TechRepublic: Come automatizzare l’impostazione di un firmware password sui computer Apple
“Il network_mgr.cgi CGI modulo contiene un comando chiamato “cgi_get_ipv6” che avvia una sessione admin — legato all’indirizzo IP dell’utente che effettua la richiesta, se il parametro aggiuntivo “bandiera” con il valore “1”,” una descrizione del difetto, pubblicato su MITRE, si legge. “La successiva invocazione di comandi che normalmente si richiedono i privilegi di amministratore, ora, riuscire, se un utente malintenzionato imposta il nome utente=admin cookie”.
Se sfruttati, gli aggressori sono in grado di accedere al Mio Cloud, piattaforma di controllo, senza la necessità di legittimo credenziali, manomettere impostazioni del dispositivo come se si possedeva privilegi di amministratore, il flash del firmware, e svolgere attività dannose.
CNET: Google CI avverte che i senatori di hacker stranieri targeting loro account Gmail
Western Digital My Cloud dispositivi contenenti il firmware prima di 2.30.196 sono interessati.
La vulnerabilità è stata patch per più di un anno e fu scoperto dal ricercatore di sicurezza Remco Vermeulen. Nonostante un privato divulgazione vicino a un anno fa. Vermeulen ha detto che WD “non prendiamo la sicurezza molto sul serio” e “rifiutato di confermare o correggere il risultato.”
WD ha annunciato l’arrivo di un aggiornamento rapido (hotfix) dopo che media i rapporti concernenti la grave vulnerabilità. Il ricercatore ha detto in risposta: “Grazie per il testa a testa. È anche possibile assegnare un unico punto di contatto per il futuro responsabile informativa?.” Al momento della scrittura, la società non ha risposto pubblicamente.
Se si desidera aggiornare manualmente gli aggiornamenti del firmware sono elencati di seguito.
L’aggiornamento rapido (hotfix) deve essere decompresso e salvato con il .formato bin. Gli utenti quindi bisogno di aprire il Mio Cloud interfaccia del pannello di controllo, andare su impostazioni e “firmware update” e caricare il file.
Il mio Cloud FW 2.30.196 My Cloud Mirror Gen2 FW 2.30.196 My Cloud EX2 Ultra FW 2.30.196 Mio Cloud EX2100 FW 2.30.196 Mio Cloud EX4100 FW 2.30.196 Mio Cloud DL2100 FW 2.30.196 Mio Cloud DL4100 FW 2.30.196 Mio Cloud PR2100 FW 2.30.196 Mio Cloud PR4100 FW 2.30.196
Nel mese di giugno, Western Digital ha rivelato nuovi 10TB e 12TB unità progettate per supportare il carico di lavoro requisiti di DVR e NVR sistemi che dispongono di intelligenza artificiale (AI) capacità.
ZDNet ha raggiunto WD con altre query e aggiornare se sentiamo di ritorno.
Precedente e relativa copertura
Questo russo botnet imita il clic di prevenire i dispositivi Android ripristino di fabbrica Rimuovere se stessi da parte di persone e siti di ricerca di cancellare la vostra presenza online NSS Labs file di causa sulla presunta CrowdStrike, Symantec, ESET test di prodotto cospirazione
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0