Форум OlegON > Компьютеры и Программное обеспечение > Железо

Уязвимость в WD My Cloud позволяет получить доступ к контенту хранилища : Железо

23.11.2024 19:41


19.09.2018 13:17
Уязвимость в WD My Cloud позволяет получить доступ к контенту хранилища

Специалисты компании Securify обнаружили уязвимость (CVE-2018-17153) в сетевом хранилище Western Digital My Cloud, которая потенциально может быть проэкслуатирована злоумышленниками для получения доступа с правами администратора к накопителю. Затем они смогут выполнять команды, извлечь или модифицировать хранящиеся на устройстве данные, а также удалить файлы и папки.

Проблема заключается в механизме создания сеансов администратора, которые привязаны к IP-адресу. По словам экспертов, неавторизованный злоумышленник может создать валидную сессию без необходимости аутентификации. После создания сеанса возможно вызвать аутентифицированные модули CGI путем отправки HTTP-запроса, содержащего файл cookie username=admin. Таким образом атакующий получит возможность выполнять команды, которые обычно требуют прав администратора.

Исследователи протестировали уязвимость на устройстве Western Digital My Cloud WDBCTL0020HWT с версией прошивки 2.30.172, но, по их словам, проблема распространяется и на другие модели, поскольку большинство продуктов WD использует тот же уязвимый код. Специалисты также опубликовали PoC-код для эксплуатации CVE-2018-17153.

Компании Western Digital известно об уязвимости с апреля текущего года, однако спустя пять месяцев проблема все еще не исправлена. Когда производитель намерен выпустить соответствующее обновление, на данный момент неясно.
Часовой пояс GMT +3, время: 19:41.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.