Western Digital Bulut Şifrelerim Güvenlik Açığı Bulundu
İçindekiler:
Western Digital My Cloud aygıtlarının bir kimlik doğrulama güvenlik açığından etkilendiği bulundu. Bir bilgisayar korsanı, parola kullanmak zorunda kalmadan web portalı üzerinden diske tam yönetici erişimi elde edebilir, böylece My Cloud aygıtının tam denetimini elde edebilir.
Güvenlik sorunlarıyla Western Digital My Cloud
Bu güvenlik açığı, ürün yazılımı 2.30.172 sürümünü çalıştıran bir Western Digital My Cloud WDBCTL0020HWT modelinde başarıyla doğrulanmıştır. My Cloud serisi ürünlerin çoğu aynı kodu ve dolayısıyla aynı güvenlik sorununu paylaştığından, bu sorun tek bir modelle sınırlı değildir.
Western Digital My Cloud düşük maliyetli, ağa bağlı bir depolama cihazıdır. Kısa bir süre önce, bazı bilgilere sahip bir kullanıcının web üzerinden kolayca giriş yapabileceği ve bir IP adresine bağlı bir yönetim oturumu oluşturabileceği keşfedildi. Bu sorundan yararlanılarak, kimliği doğrulanmamış bir saldırgan normalde yönetici ayrıcalıkları gerektiren ve My Cloud aygıtının tam denetimini ele geçirecek komutlar yürütebilir. Sorun, güvenlik sorunlarını aramak için CGI ikili dosyalarını tersine çevirirken keşfedildi.
Ayrıntılar
Her yönetici kimlik doğrulaması yaptığında, kullanıcının IP adresine bağlı bir sunucu tarafı oturumu oluşturulur. Oturum oluşturulduktan sonra, HTTP isteğinde username = admin çerezini göndererek kimliği doğrulanmış CGI modüllerini çağırmak mümkündür. Çağrılan CGI, geçerli bir oturumun olup olmadığını ve kullanıcının IP adresine bağlı olup olmadığını kontrol eder.
Kimliği doğrulanmamış bir saldırganın oturum açmak zorunda kalmadan geçerli bir oturum oluşturabileceği keşfedildi. Network_mgr.cgi CGI modülü, 1'e eşit parametre bayrağı ile çağrıldığında istekte bulunan kullanıcının IP adresine bağlı bir yönetim oturumu başlatan cgi_get_ipv6 adlı bir komut içerir. Normalde gerektiren komutların sonraki çağrılması Saldırgan herhangi bir bilgisayar korsanı için çok kolay olacak kullanıcı adı = yönetici çerezini ayarlarsa, yönetici ayrıcalıklarına artık izin verilecek.
Şu anda, Western Digital'den bir ürün yazılımı güncellemesi bekleyen sorun çözülmedi.
Guru3D Yazı TipiMicrosoft, 55 güvenlik açığı için bir güvenlik düzeltme eki yayımladı
Microsoft, 55 güvenlik açığı için bir güvenlik düzeltme eki yayımladı. Rus casuslarının son saldırıları güvenliğin artmasına neden oldu.
Skype'ta yeni güvenlik açığı bulundu
Skype'ta yeni güvenlik açığı bulundu. Skype kullanıcılarını etkileyen yeni güvenlik açığını ve içerdiği tehlikeyi keşfedin.
Amd ryzen işlemcilerinde 13 güvenlik açığı bulundu
İsrail'deki CTS-Labs güvenlik araştırmacıları, tüm AMD Ryzen işlemcilerinde 13 ciddi güvenlik açığı bulunduğunu tespit etti.
