Western Digital løser år gamle password bypass fejl i Min Sky NAS-enheder

0
107

Nul

Western Digital har udgivet et hotfix for at løse en alvorlig autentificering sårbarhed i Min Cloud produkt linje, som tillader fjernangribere at kapre og tage fuld kontrol over en sårbar enhed.

Tech gigant sagde, at i slutningen af sidste uge, at det er en fejl, CVE-2018-17153, vil blive løst gennem en download hotfix.

Plasteret vil også indgå i en over-the-air (OTA) opdatering i standard MyCloud firmware opgradering tidsplan.

Den sårbarhed, CVE-2018-17153, er beskrevet som en godkendelse omgå sikkerheden fejl. Når administratorer logge ind på Min Cloud-platform, et server-side-session er skabt, som er bundet til deres IP-adresse.

Se også: Magecart krav endnu et offer i Newegg købmand tyveri af data

Ikke-godkendt angribere er i stand til at skabe gyldig session uden at logge på med en adgangskode, og er også i stand til at kalde godkendt CGI-moduler ved at sende en skræddersyet cookie i HTTP-anmodningen.

TechRepublic: Hvordan til at automatisere indstilling en firmware password på Apple computere

“Network_mgr.cgi CGI-modul indeholder en kommando kaldet “cgi_get_ipv6”, der starter en admin session — bundet til IP-adressen for brugeren, der foretager anmodningen — hvis den ekstra parameter “flag” med værdien “1” er fastsat,” en beskrivelse af fejlen, sendt oven på HOVEDKLÆDET, læser. “Efterfølgende aktivering af kommandoer, der normalt ville kræve administratorrettigheder nu lykkes, hvis en hacker sætter brugernavn=admin cookie.”

Hvis det udnyttes, hackere er i stand til at få adgang til Min Cloud control platform, uden behov for legitime legitimationsoplysninger, manipulere med enhedens indstillinger, som hvis de havde administratorrettigheder, flash firmwaren, og udføre andre skadelige aktiviteter.

CNET: Google advarer OS senatorer af udenlandske hackere at målrette deres Gmail-konti

Western Digital My Cloud-enheder, der indeholder firmware, før 2.30.196 er påvirket.

Sårbarheden er blevet opdateret for over et år og blev oprindeligt opdaget af sikkerhedsekspert Remco Vermeulen. På trods af en privat offentliggørelse tæt på et år siden. Vermeulen sagde, at WD “ikke tager sikkerhed meget alvorligt” og “nægtede at anerkende eller løse finde.”

WD annonceret et indgående hotfix efter medier rapporter vedrørende alvorlig sårbarhed. Forskeren sagde i svaret, “Tak for heads up. Er det også muligt at tildele en enkelt kontaktpunkt for fremtiden, der er ansvarlig oplysninger?.” På tidspunktet for skriftligt, er virksomheden ikke har reageret offentligt.

Hvis du ønsker at opdatere manuelt, firmware-opdateringer, der er anført nedenfor.

Det hotfix, skal pakkes ud og gemmes under .bin-format. Brugere kan derefter nødt til at åbne op for Min Cloud dashboard-interface, skal du gå til indstillinger, og “firmware update,”, og uploade filen.

Min Cloud FW 2.30.196 Min Cloud Spejl Gen2 FW 2.30.196 Min Cloud EX2 Ultra FW 2.30.196 Min Cloud EX2100 FW 2.30.196 Min Cloud EX4100 FW 2.30.196 Min Cloud DL2100 FW 2.30.196 Min Cloud DL4100 FW 2.30.196 Min Cloud PR2100 FW 2.30.196 Min Cloud PR4100 FW 2.30.196

I juni, Western Digital afsløret nye 10TB og 12TB drev udformet til at støtte den arbejdsbyrde, krav, for DVR og NVR-systemer, som har kunstig intelligens (AI) kapaciteter.

ZDNet har nået ud til WD med yderligere forespørgsler og vil opdatere, hvis vi hører tilbage.

Tidligere og relaterede dækning

Dette russisk botnet efterligner dine klik her for at forhindre, at Android-enhed fabrik, nulstilles Fjerne dig selv fra folk, søg websteder og slette din online tilstedeværelse NSS Labs filer retssag over påståede CrowdStrike, Symantec, ESET produkt test sammensværgelse

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre

0