Ordinateurs portables

Découverte de la vulnérabilité de Western Digital My Cloud Passwords

2025
Découverte de la vulnérabilité de Western Digital My Cloud Passwords

Table des matières:

Anonim

Les appareils Western Digital My Cloud se sont révélés être affectés par une vulnérabilité d'authentification. Un pirate pourrait obtenir un accès administratif complet au disque via le portail Web sans avoir à utiliser un mot de passe, obtenant ainsi un contrôle total sur l'appareil My Cloud.

Western Digital My Cloud avec des problèmes de sécurité

Cette vulnérabilité a été vérifiée avec succès sur un modèle Western Digital My Cloud WDBCTL0020HWT exécutant la version 2.30.172 du micrologiciel. Ce problème n'est pas limité à un seul modèle, car la plupart des produits de la série My Cloud partagent le même code, et donc le même problème de sécurité.

Western Digital My Cloud est un périphérique de stockage à faible coût connecté au réseau. Il a été récemment découvert qu'un utilisateur possédant certaines connaissances pouvait facilement se connecter via le Web et créer une session d'administration liée à une adresse IP. En exploitant ce problème, un attaquant non authentifié peut exécuter des commandes qui nécessiteraient normalement des privilèges d'administrateur et gagner le contrôle total de l'appareil My Cloud. Le problème a été découvert lors de l'ingénierie inverse des binaires CGI pour rechercher des problèmes de sécurité.

Les détails

Chaque fois qu'un administrateur s'authentifie, une session côté serveur est créée qui est liée à l'adresse IP de l'utilisateur. Une fois la session créée, il est possible d'appeler les modules CGI authentifiés en envoyant le cookie username = admin dans la requête HTTP. Le CGI appelé vérifiera si une session valide est présente et liée à l'adresse IP de l'utilisateur.

Il a été découvert qu'un attaquant non authentifié peut créer une session valide sans avoir à se connecter. Le module CGI network_mgr.cgi contient une commande appelée cgi_get_ipv6 qui démarre une session d'administration qui est liée à l'adresse IP de l'utilisateur demandeur lorsqu'elle est invoquée avec l'indicateur de paramètre égal à 1. L'invocation subséquente de commandes qui nécessiteraient normalement Les privilèges d'administrateur seraient désormais autorisés si un attaquant définissait le cookie username = admin, ce qui serait un jeu d'enfant pour tout pirate.

Pour le moment, le problème n'a pas été résolu, en attendant une mise à jour du firmware de Western Digital.

Guru3D Font

Nouvelle vulnérabilité découverte sur skype

Nouvelle vulnérabilité découverte sur skype

Nouvelle vulnérabilité découverte sur Skype. Découvrez la nouvelle vulnérabilité qui affecte les utilisateurs de Skype et le danger qu'elle contient.

Nouvelle vulnérabilité découverte dans les processeurs Intel

Nouvelle vulnérabilité découverte dans les processeurs Intel

Une nouvelle vulnérabilité a été découverte dans les processeurs Intel, cette fois liée à la puce BIOS UEFI.

Découverte de deux nouvelles variantes de la vulnérabilité du spectre

Découverte de deux nouvelles variantes de la vulnérabilité du spectre

Nous continuons de parler des vulnérabilités liées aux processeurs. Cette fois, les chercheurs en sécurité en ont trouvé deux nouveaux.Les chercheurs en sécurité ont trouvé deux nouvelles vulnérabilités dans les processeurs d'Intel, liées au célèbre Spectre.

Ordinateurs portables

Le choix des éditeurs

HTC se désintéresse-t-il de Windows Phone ?

HTC se désintéresse-t-il de Windows Phone ?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Images de ce que pourrait être le nouveau Nokia Lumia EOS

Images de ce que pourrait être le nouveau Nokia Lumia EOS

2025
Appareils Build 2013 : en attente des fabricants

Appareils Build 2013 : en attente des fabricants

2025
Back to top button