Запам'ятовуючі пристрої My Cloud обладнані жорстким кодом Backdoor

Запам'ятовуючі пристрої My Cloud обладнані жорстким кодом Backdoor

Приєднувані пристрої зберігання даних (NAS) мережі My Cloud, створені Western Digital, стверджують, що вони пропонують просте, все-в-одному рішення для зберігання даних вдома. Однак вони можуть також забезпечити просте, все-в-одному рішення для хакерів, щоб викрасти ваші дані контролювати ваш пристрій. У минулому році Western Digital розповідала про вразливість, але ще не виправляє багато пристроїв.

Захід Western Digital My Cloud NAS починається з менш ніж 200 доларів за кілька терабайт з одним диском. Вона збільшується до приблизно 700 доларів у найбільшій системі з подвійним приводом 16 Тб. Тоді є пристрої My Cloud EX, які більше схожими на традиційні NAS і доступні для користувача дисководи. Це може коштувати дорожче понад 1000 доларів після того, як вони оснащені накопичувачами. Більшість продуктів, що зберігаються в мережі Western Digital, постраждали від уразливості.

За даними дослідників GulfTech, коробки NAS компанії WD використовують розбиту модель безпеки, яка дозволяє віддаленим атакам завантажувати файли та отримувати доступ до кореневого доступу, але це ще не все. Також є жорсткий код бекдор, який дозволяє будь-кому отримати доступ до ваших файлів. Це дійсно безлад.

Пристрої My Cloud призначені для доступу власником як локально, так і через Інтернет. Виявляється, хтось інший може дистанційно віддаляти ПАНУ з проханням завантажити файл таким чином, щоб NAS їх ввів. Дослідники створили модуль доказів концепції, який може отримати корінний доступ до пристрою, що потенційно дає доступ для всіх файлів, що містяться в NAS.

Драйв у моєму Cloud Mirror резервному копію NAS.
Драйв у моєму Cloud Mirror резервному копію NAS.

Усе ще гірше, якщо WD включить жорсткий код бекдор. Ці пристрої містять ім'я адміністратора "mydlinkBRionyg" і пароль "abc12345cba", дозволяючи будь-кому входити віддалено. Це твердокодування в двійковій системі, тому користувачі не можуть змінити його або скасувати доступ. Це робить код вище помилково доступним. Зловмисник навіть може зламати "Мої хмари" у вашій мережі, змусивши вас зайти на веб-сторінку з вбудованою IFrame, що робить запит на вхід.

GulfTech повідомив Western Digital про уразливості в червні минулого року, і компанія просила 90-денне вікно виштовхнути оновлення. Багато пристроїв все ще не вистачає оновлень через півроку, тому GulfTech опублікував свій аналіз. На сьогоднішній день будь-який із зачеплених моделей на прошивці, старше 4.x, є вразливим. Якщо це ви, то може бути розумним відключити мою хмару на даний момент або, принаймні, поставити його десь у вашу мережу, де вона не може отримати доступ до Інтернету.

Читати далі

Хто робить найнадійніші жорсткі диски?

Хоча загальновідомо, як довго жорсткі диски дійсно живуть, це означає, що деякі виробники створюють диски, які є більш надійними, ніж інші. Але чиї?

Західний цифровий закритий завод з виробництва жорстких дисків, збільшення виробництва SSD

Коли ринок змінюється на SSD, Western Digital випускає продукцію жорсткого диска на одній зі своїх основних заводів і переходить на фокус на SSD.

Графічні процесори Nvidia використовують жорсткий удар з використанням HDR

Підтримка HDR, нарешті, починає поширюватися на назви ПК, але AMD та Nvidia справляються з робочим навантаженням абсолютно по-різному.

Seagate прагне до конкурсу HAMR, доставити 100 ТБ жорстких дисків до 2025 року

Компанія Seagate має намір 2025-2026 рр. Збільшити потужність жорсткого диска до 100 Тб, зменшивши поточну ліміт на 14 Тб.