ノートパソコン

Western Digitalのマイクラウドパスワードの脆弱性が発見されました

2025
Western Digitalのマイクラウドパスワードの脆弱性が発見されました

目次:

Anonim

Western Digital My Cloudデバイスは、認証の脆弱性の影響を受けることが判明しました。 ハッカーは、パスワードを使用せずに、Webポータルを介してディスクへの完全な管理アクセスを取得し、それによってMy Cloudデバイスを完全に制御できます。

セキュリティの問題があるWestern Digital My Cloud

この脆弱性は、 ファームウェアバージョン2.30.172を実行するWestern Digital My Cloud WDBCTL0020HWTモデルで 正常に確認されました。 ほとんどのMy Cloudシリーズ製品は同じコードを共有しているため、この問題は単一のモデルに限定されず、したがって同じセキュリティの問題があります。

Western Digital My Cloudは、低コストのネットワーク接続ストレージデバイスです。 最近、ある程度の知識を持つユーザーがWeb経由で簡単にログインし、IPアドレスにリンクされた管理セッションを作成できることが発見されました。 この問題を悪用することで、認証されていない攻撃者は、通常は管理者権限を必要とするコマンドを実行し、 My Cloudデバイスを完全に制御できます。 この問題は、セキュリティの問題を探すためにCGIバイナリをリバースエンジニアリングしているときに発見されました。

詳細

管理者が認証するたびに、ユーザーのIPアドレスに関連付けられたサーバー側セッションが作成されます。 セッションが作成されると、HTTPリクエストでusername = admin cookieを送信することにより、認証されたCGIモジュールを呼び出すことができます。 呼び出されたCGIは、有効なセッションが存在し、ユーザーのIPアドレスにリンクされているかどうかを確認します。

認証されていない攻撃者が、ログインしなくても有効なセッションを作成できることが発見されました。 CGIモジュールnetwork_mgr.cgiには、cgi_get_ipv6と呼ばれるコマンドが含まれています。このコマンドは、パラメーターフラグが1で呼び出されたときに、要求しているユーザーのIPアドレスにバインドされている管理セッションを開始します。攻撃者がusername = admin cookieを設定した場合、管理者権限が許可されるようになりました。これは、ハッカーにとって簡単なことです。

現時点では、問題は解決されておらず、 Western Digitalからのファームウェア更新が保留されています。

Guru3Dフォント

Western Digitalが私のクラウドext2ウルトラNASをローンチ

Western Digitalが私のクラウドext2ウルトラNASをローンチ

Western DigitalのMy Cloud Ext2 Ultra NASは、2つのハードドライブベイと最大12TBの容量をサポートすることを発表しました。

Western DigitalがそのSSD WDブルーとグリーンを発表

Western DigitalがそのSSD WDブルーとグリーンを発表

WD Blue and Green:国内セクターとゲーマー向けのメーカー初のSSDの機能、可用性、価格。

Western Digitalがラズベリーpiのpidrive範囲を更新

Western Digitalがラズベリーpiのpidrive範囲を更新

Western Digitalは、低容量で低価格の新モデルを組み込んでPiDriveの範囲を拡大しています。

ノートパソコン

エディタの選択

HTC は Windows Phone への関心を失っていますか?

HTC は Windows Phone への関心を失っていますか?

2025
サムスン Ativ Q

サムスン Ativ Q

2025
新しいNokia Lumia EOSの可能性のある画像

新しいNokia Lumia EOSの可能性のある画像

2025
Build 2013 デバイス: メーカー待ち

Build 2013 デバイス: メーカー待ち

2025
Back to top button