Запам'ятовуючі пристрої My Cloud обладнані жорстким кодом Backdoor

Приєднувані пристрої зберігання даних (NAS) мережі My Cloud, створені Western Digital, стверджують, що вони пропонують просте, все-в-одному рішення для зберігання даних вдома. Однак вони можуть також забезпечити просте, все-в-одному рішення для хакерів, щоб викрасти ваші дані контролювати ваш пристрій. У минулому році Western Digital розповідала про вразливість, але ще не виправляє багато пристроїв.
Захід Western Digital My Cloud NAS починається з менш ніж 200 доларів за кілька терабайт з одним диском. Вона збільшується до приблизно 700 доларів у найбільшій системі з подвійним приводом 16 Тб. Тоді є пристрої My Cloud EX, які більше схожими на традиційні NAS і доступні для користувача дисководи. Це може коштувати дорожче понад 1000 доларів після того, як вони оснащені накопичувачами. Більшість продуктів, що зберігаються в мережі Western Digital, постраждали від уразливості.
За даними дослідників GulfTech, коробки NAS компанії WD використовують розбиту модель безпеки, яка дозволяє віддаленим атакам завантажувати файли та отримувати доступ до кореневого доступу, але це ще не все. Також є жорсткий код бекдор, який дозволяє будь-кому отримати доступ до ваших файлів. Це дійсно безлад.
Пристрої My Cloud призначені для доступу власником як локально, так і через Інтернет. Виявляється, хтось інший може дистанційно віддаляти ПАНУ з проханням завантажити файл таким чином, щоб NAS їх ввів. Дослідники створили модуль доказів концепції, який може отримати корінний доступ до пристрою, що потенційно дає доступ для всіх файлів, що містяться в NAS.

Усе ще гірше, якщо WD включить жорсткий код бекдор. Ці пристрої містять ім'я адміністратора "mydlinkBRionyg" і пароль "abc12345cba", дозволяючи будь-кому входити віддалено. Це твердокодування в двійковій системі, тому користувачі не можуть змінити його або скасувати доступ. Це робить код вище помилково доступним. Зловмисник навіть може зламати "Мої хмари" у вашій мережі, змусивши вас зайти на веб-сторінку з вбудованою IFrame, що робить запит на вхід.
GulfTech повідомив Western Digital про уразливості в червні минулого року, і компанія просила 90-денне вікно виштовхнути оновлення. Багато пристроїв все ще не вистачає оновлень через півроку, тому GulfTech опублікував свій аналіз. На сьогоднішній день будь-який із зачеплених моделей на прошивці, старше 4.x, є вразливим. Якщо це ви, то може бути розумним відключити мою хмару на даний момент або, принаймні, поставити його десь у вашу мережу, де вона не може отримати доступ до Інтернету.
Читати далі

Нарешті, незаконним способом для провайдерів стягувати плату за оренду власного обладнання
У неділю набув чинності новий закон, який заважає вашому провайдеру зробити обов’язковою плату за оренду обладнання.

Нові ігрові ноутбуки Lenovo Legion Sport Sport Останні AMD, обладнання Nvidia
Нові машини поєднують новітні процесори AMD з новими мобільними графічними процесорами Nvidia. Цінові позначки не будуть в межах бюджету, але вони набагато нижчі, ніж у деяких конкуруючих ігрових ноутбуків.

Sony поставить нове обладнання для VR для PS5, але не в 2021 році
Sony випустить на ринок нову ітерацію гарнітури PlayStation Virtual Reality (PSVR) для підтримки PS5, але неспокійні води та велика кількість невизначеності попереду для ринку VR взагалі.

DirectStorage Microsoft буде підтримувати PCIE 3.0, всі DX12-здатне обладнання
Microsoft поділилася деякими подробицями щодо того, як його стандарт DirectStorage дозволить ПК підтримати той самий вид потоку текстури, доступний на Xbox серії S | X та PlayStation 5.