В сетевых хранилищах Western Digital My Cloud обнаружены три уязвимости

Новости Отредактировано

Один из них – жестко прошитые логин и пароль, которые невозможно изменить. С ними злоумышленник получает полный доступ к My Cloud, даже изолированному в локальной сети и не подключенному к Интернету.

958 открытий962 показов

Специалист по информационной безопасности из GulfTech Research and Development опубликовал отчет о трех крупных уязвимостях в сетевых хранилищах My Cloud от Western Digital. Он передал информацию компании еще в 2017 году и выпустил отчет только после того, как вышло обновление обшивки.

Список уязвимостей WD My Cloud

  1. Уязвимость в multi_uploadify.php, разрешающая несанкционированную загрузку файлов. Злоумышленнику под силу, к примеру, загрузить на устройство web shells и получить доступ к хранилищу с правами root.
  2. Бэкдор: жестко прошитый админский аккаунт с предустановленной связкой логин/пароль mydlinkBRionyg/abc12345cba, которые невозможно изменить. Такой же бэкдор в 2014 году закрыла D-Link в устройствах DNS-320L ShareCenter — возможно, во всем виноват один и тот же сторонний поставщик программного обеспечения.
  3. CSRF (Cross-Site Request Forgery), межсайтовая подделка запроса, — уязвимость, допускающая мелкие зловредные шалости вроде сброса языка интерфейса в бэкенде устройства.

Что дальше?

Самая опасная из уязвимостей — бэкдор с прошитыми логином и паролем, через который хакеры могут подключиться к персональному хранилищу, изолированному в локальной сети и даже не подключенному к Интернету.

Western Digital уже выпустила прошивку версии 2.30.174, в которой эта уязвимость закрыта. Остальные проблемы компания обещает решить в следующих релизах.

Уязвимые устройства:

  1. My Cloud
  2. My Cloud Mirror
  3. My Cloud Gen 2
  4. My Cloud PR2100
  5. My Cloud PR4100
  6. My Cloud EX2 Ultra
  7. My Cloud EX2
  8. My Cloud EX4
  9. My Cloud EX2100
  10. My Cloud EX4100
  11. My Cloud DL2100
  12. My Cloud DL4100

Не подвержены уязвимости:

  1. My Cloud 04.X Series
  2. My Cloud 2.30.174

Western Digital призывает пользователей проверять обновление обшивки и при работе с хранилищем, подключенным к сети, поставить на роутер надежный пароль.

Следите за новыми постами
Следите за новыми постами по любимым темам
958 открытий962 показов