Twoje PC  
Zarejestruj się na Twoje PC
TwojePC.pl | PC | Komputery, nowe technologie, recenzje, testy
M E N U
  0
 » Nowości
0
 » Archiwum
0
 » Recenzje / Testy
0
 » Board
0
 » Rejestracja
0
0
  
Szukaj @ TwojePC
 

w Newsach i na Boardzie
 
TwojePC.pl © 2001 - 2024
Poniedziałek 24 września 2018 
    

Poważna i łatwa do wykorzystania luka w zabezpieczeniu NASów od WD


Autor: Wedelek | źródło: Hexus | 05:14
(2)
Nad rodziną serwerów NAS MyCloud od firmy Western Digital zebrały się czarne chmury po opublikowaniu odnalezionej luki w zabezpieczeniach, która pozwala na zdalny dostęp do zgromadzonych na dyskach plików. W tym konkretnym przypadku olbrzymie kontrowersje wzbudza zarówno żenująco niski poziom zabezpieczeń jak i bierność firmy, która o problemie była informowana kilka miesięcy temu i od tego czasu nic z tą wiedzą nie zrobiła. Lukę wykrył ekspert ds. bezpieczeństwa Remco Vermeulen i już w kwietniu 2017 roku poinformował o niej WD. Standardowo tzw. białe kapelusze (white hat) dają firmom 90 dni na reakcję po czym publikują szczegółowe informacje o znalezisku.

Vermulen jednak złamał tę zasadę i czekał ponad 260 dni na wydanie przez WD stosownej łatki. Firma zwlekała z jej wydaniem tak długo, że w tzw. międzyczasie inny zespół wpadł na ślad luki i nie omieszkał podzielić się swoim odkryciem z całym światem. Postępowanie WD jest tym bardziej bulwersujące, że błędnie zaimplementowane zabezpieczenie może obejść praktycznie każdy użytkownik komputera PC z podstawową wiedzą o działaniu tzw. ciasteczek i programowaniu. Okazuje się, że aby dostać się do panelu administracyjnego urządzenia z ustawionym zewnętrznym dostępem za pośrednictwem sieci Internet wystarczy tylko znać jego adres IP, utworzyć sesję administratora z użyciem CGI oraz ręcznie dodać ciasteczko o wartości „username=admin”.

Blamaż zmusił WD do działania, a firma zapowiedziała wydanie nowej wersji oprogramowania w przeciągu kilku tygodni. Koncern twierdzi, że nowe urządzenia z serii My Cloud Home są wolne od opisywanej luki, ale już starsze modele takie jak My Cloud EX2, EX4 czy Mirror mogą zostać bardzo łatwo zinfiltrowane.



 
    
K O M E N T A R Z E
    

  1. nice (autor: jack121 | data: 25/09/18 | godz.: 04:06)
    The tips of the workflow you share are great. It helps a lot in my work.
    - [url="http://rolltheball.co/"]roll the ball[/url]
    [url="http://impossiblegame.co/"]Impossible game[/url]
    [url="https://jsonformatter-online.com/"]JSON formatter[/url] -

  2. Nice Petard (autor: konopa | data: 25/09/18 | godz.: 06:32)
    "NIce Petard" after translation with use of google translate/

     
D O D A J   K O M E N T A R Z
    

Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.