Устройства Cloud Cloud от Western Digital имеют жесткий код Backdoor

Устройства Cloud Cloud от Western Digital имеют жесткий код Backdoor

Устройства Western Storage, подключенные к устройствам хранения в сети «Мой облако» (NAS), утверждают, что предлагают легкое решение «все-в-одном» для хранения ваших данных дома. Тем не менее, они могут также предоставлять легкое решение «все-в-одном» для хакеров, чтобы украсть ваши данные, чтобы управлять вашим устройством. В прошлом году Western Digital рассказала об уязвимостях, но еще не исправила многие устройства.

NAS Western Digital My Cloud NAS начинается с менее чем 200 долларов за несколько терабайт с одним диском. Он достигает около 700 долларов в самой большой двухдисковой системе с 16 ТБ. Тогда есть устройства My Cloud EX, которые больше похожи на традиционный NAS с доступными для пользователя отсеками для дисков. Они могут стоить более 1000 долларов, если они оснащены дисками. Уязвимость затронула большинство сетевых продуктов Western Digital.

По словам исследователей из GulfTech, в блоках NAS компании WD используется сломанная модель безопасности, которая позволяет удаленным злоумышленникам загружать файлы и получать доступ root, но это еще не все. Существует также жестко запрограммированный бэкдор, который может позволить любому получить доступ к вашим файлам. Это действительно беспорядок.

Устройства «Мое облако» предназначены для доступа как локально, так и через Интернет. Оказывается, кто-то еще может удаленно удалять NAS с просьбой о загрузке файла таким образом, что NAS позволяет им. Исследователи создали модуль доказательной концепции, который может получить root-доступ к устройству, потенциально разрешая доступ ко всем файлам, содержащимся в NAS.

Диски внутри хранилища зеркал My Cloud Mirror.
Диски внутри хранилища зеркал My Cloud Mirror.

Вещи стали еще хуже благодаря включению WD жестко закодированного бэкдора. Эти устройства содержат имя администратора «mydlinkBRionyg» и пароль «abc12345cba», позволяющие любому пользователю удаленно регистрироваться. Это жестко закодировано в двоичном формате, поэтому пользователи не могут изменить его или отменить доступ. Это делает код с ошибкой выше чрезвычайно легким для доступа. Злоумышленник может даже взломать Мои облака в вашей сети, обманув вас в посещении веб-страницы со встроенным iframe, который делает запрос на вход.

GulfTech уведомил Western Digital об уязвимости в июне прошлого года, и компания запросила 90-дневное окно для выпуска обновлений. Многие устройства по-прежнему испытывают нехватку обновлений через шесть месяцев, поэтому GulfTech опубликовал свой анализ. На данный момент любая из затронутых моделей на прошивке старше 4.x уязвима. Если это вы, возможно, было бы разумно отключить Мое облако на данный момент или, по крайней мере, поместить его в вашу сеть, где он не сможет получить доступ к Интернету.

Читать далее

За предложение Harman о переделке автомобиля с помощью Samsung Clout
За предложение Harman о переделке автомобиля с помощью Samsung Clout

Альянс Samsung-Harman хочет предоставить информационно-развлекательные инструменты, инструменты для самостоятельного вождения и многое другое.

Adobe отказаться от поддержки старых приложений в Creative Cloud
Adobe отказаться от поддержки старых приложений в Creative Cloud

Adobe ужесточает требования к поддержке Creative Cloud, поэтому вам нужно быть на довольно недавней версии ОС, чтобы воспользоваться ее запланированными обновлениями

Adobe Piles на новом аудио, функции видео в Creative Cloud
Adobe Piles на новом аудио, функции видео в Creative Cloud

В духе непрерывного совершенствования своих предложений Creative Cloud Adobe внедряет множество улучшений в своих приложениях для редактирования аудио и видео в Международной конвенции о вещании.

Nintendo Deletes Switch Cloud сохраняет, если ваша подписка заканчивается
Nintendo Deletes Switch Cloud сохраняет, если ваша подписка заканчивается

Nintendo пояснила, что, как ни удивительно, она удаляет ваши сохраненные в облаке игры, как только вы перестанете платить за услугу.