Запам'ятовуючі пристрої My Cloud обладнані жорстким кодом Backdoor

Запам'ятовуючі пристрої My Cloud обладнані жорстким кодом Backdoor

Приєднувані пристрої зберігання даних (NAS) мережі My Cloud, створені Western Digital, стверджують, що вони пропонують просте, все-в-одному рішення для зберігання даних вдома. Однак вони можуть також забезпечити просте, все-в-одному рішення для хакерів, щоб викрасти ваші дані контролювати ваш пристрій. У минулому році Western Digital розповідала про вразливість, але ще не виправляє багато пристроїв.

Захід Western Digital My Cloud NAS починається з менш ніж 200 доларів за кілька терабайт з одним диском. Вона збільшується до приблизно 700 доларів у найбільшій системі з подвійним приводом 16 Тб. Тоді є пристрої My Cloud EX, які більше схожими на традиційні NAS і доступні для користувача дисководи. Це може коштувати дорожче понад 1000 доларів після того, як вони оснащені накопичувачами. Більшість продуктів, що зберігаються в мережі Western Digital, постраждали від уразливості.

За даними дослідників GulfTech, коробки NAS компанії WD використовують розбиту модель безпеки, яка дозволяє віддаленим атакам завантажувати файли та отримувати доступ до кореневого доступу, але це ще не все. Також є жорсткий код бекдор, який дозволяє будь-кому отримати доступ до ваших файлів. Це дійсно безлад.

Пристрої My Cloud призначені для доступу власником як локально, так і через Інтернет. Виявляється, хтось інший може дистанційно віддаляти ПАНУ з проханням завантажити файл таким чином, щоб NAS їх ввів. Дослідники створили модуль доказів концепції, який може отримати корінний доступ до пристрою, що потенційно дає доступ для всіх файлів, що містяться в NAS.

Драйв у моєму Cloud Mirror резервному копію NAS.
Драйв у моєму Cloud Mirror резервному копію NAS.

Усе ще гірше, якщо WD включить жорсткий код бекдор. Ці пристрої містять ім'я адміністратора "mydlinkBRionyg" і пароль "abc12345cba", дозволяючи будь-кому входити віддалено. Це твердокодування в двійковій системі, тому користувачі не можуть змінити його або скасувати доступ. Це робить код вище помилково доступним. Зловмисник навіть може зламати "Мої хмари" у вашій мережі, змусивши вас зайти на веб-сторінку з вбудованою IFrame, що робить запит на вхід.

GulfTech повідомив Western Digital про уразливості в червні минулого року, і компанія просила 90-денне вікно виштовхнути оновлення. Багато пристроїв все ще не вистачає оновлень через півроку, тому GulfTech опублікував свій аналіз. На сьогоднішній день будь-який із зачеплених моделей на прошивці, старше 4.x, є вразливим. Якщо це ви, то може бути розумним відключити мою хмару на даний момент або, принаймні, поставити його десь у вашу мережу, де вона не може отримати доступ до Інтернету.

Читати далі

Microlin's Acorus Meant Potholes не пошкодить низькопрофільні шини, колісні диски

Згинайте, не руйнуйте: колесо Acorus додає пару гумових фланців для додаткового гнучкості, заощаджуючи шини з коротким боковим стінками з моменту їх раннього згину.

З відкритим вихідним кодом обчислюється 20, Powers Computing, як ми це знаємо сьогодні

Програма з відкритим вихідним кодом вчора вийшла на 20 Кілька програмних концепцій можуть стверджувати, що вплинули на світ так багато.

Ядро вихідного коду iOS, вирване на GitHub, могло б посилити Jailbreaking

Джейлбрік повернувся, дитина. Крім того, дірки безпеки.

Xbox One X-Enhanced 360 Games Drop Jaws без змін коду

Для тих, кому пощастило володіти Xbox One X, декілька сумісних 360 назв можуть працювати на рівні 4K. Швидко розраховуючи роздільну здатність на кожній осі, корпорація Майкрософт може доставити оригінальне зображення 2160p - давати або взяти деякі здивування роздільної здатності у певних іграх.