Устройства Cloud Cloud от Western Digital имеют жесткий код Backdoor

Устройства Cloud Cloud от Western Digital имеют жесткий код Backdoor

Устройства Western Storage, подключенные к устройствам хранения в сети «Мой облако» (NAS), утверждают, что предлагают легкое решение «все-в-одном» для хранения ваших данных дома. Тем не менее, они могут также предоставлять легкое решение «все-в-одном» для хакеров, чтобы украсть ваши данные, чтобы управлять вашим устройством. В прошлом году Western Digital рассказала об уязвимостях, но еще не исправила многие устройства.

NAS Western Digital My Cloud NAS начинается с менее чем 200 долларов за несколько терабайт с одним диском. Он достигает около 700 долларов в самой большой двухдисковой системе с 16 ТБ. Тогда есть устройства My Cloud EX, которые больше похожи на традиционный NAS с доступными для пользователя отсеками для дисков. Они могут стоить более 1000 долларов, если они оснащены дисками. Уязвимость затронула большинство сетевых продуктов Western Digital.

По словам исследователей из GulfTech, в блоках NAS компании WD используется сломанная модель безопасности, которая позволяет удаленным злоумышленникам загружать файлы и получать доступ root, но это еще не все. Существует также жестко запрограммированный бэкдор, который может позволить любому получить доступ к вашим файлам. Это действительно беспорядок.

Устройства «Мое облако» предназначены для доступа как локально, так и через Интернет. Оказывается, кто-то еще может удаленно удалять NAS с просьбой о загрузке файла таким образом, что NAS позволяет им. Исследователи создали модуль доказательной концепции, который может получить root-доступ к устройству, потенциально разрешая доступ ко всем файлам, содержащимся в NAS.

Диски внутри хранилища зеркал My Cloud Mirror.
Диски внутри хранилища зеркал My Cloud Mirror.

Вещи стали еще хуже благодаря включению WD жестко закодированного бэкдора. Эти устройства содержат имя администратора «mydlinkBRionyg» и пароль «abc12345cba», позволяющие любому пользователю удаленно регистрироваться. Это жестко закодировано в двоичном формате, поэтому пользователи не могут изменить его или отменить доступ. Это делает код с ошибкой выше чрезвычайно легким для доступа. Злоумышленник может даже взломать Мои облака в вашей сети, обманув вас в посещении веб-страницы со встроенным iframe, который делает запрос на вход.

GulfTech уведомил Western Digital об уязвимости в июне прошлого года, и компания запросила 90-дневное окно для выпуска обновлений. Многие устройства по-прежнему испытывают нехватку обновлений через шесть месяцев, поэтому GulfTech опубликовал свой анализ. На данный момент любая из затронутых моделей на прошивке старше 4.x уязвима. Если это вы, возможно, было бы разумно отключить Мое облако на данный момент или, по крайней мере, поместить его в вашу сеть, где он не сможет получить доступ к Интернету.

Читать далее

Xbox Cloud Gaming выйдет на iOS и ПК в 2021 году
Xbox Cloud Gaming выйдет на iOS и ПК в 2021 году

В следующем году Microsoft представит свой сервис Project xCloud как для ПК, так и для iOS, а Xbox Game Pass хорошо растет.

Qualcomm может выпустить Nintendo Clone клон работает Android
Qualcomm может выпустить Nintendo Clone клон работает Android

Устройство Android-Android будет иметь съемные контроллеры в стиле JOYCON, 5G подключение и несколько магазинов приложений при запуске, включая один из эпических игр. Скажи привет своей новой машине Fortnite ... через год.

Apple загрузила тень Microsoft из App Store в Row XCloud
Apple загрузила тень Microsoft из App Store в Row XCloud

Садовый сад IOS Apple сталкивается со своим самым серьезным нападением в текущих эпических играх V. Apple Trial, частично благодаря чему-то, что Microsoft случайно сделал.

Alder Lake Утечка: Intel Core I9-12900K предлагает 5,3 ГГц Boost Clock, более низкие PL2
Alder Lake Утечка: Intel Core I9-12900K предлагает 5,3 ГГц Boost Clock, более низкие PL2

Технические характеристики для предстоящего оленя Intel озера Альдера просочились, и они подразумевают процессор, который, по крайней мере, несколько более эффективным, чем его предшественники, не отказываясь от любых верхних часов.