Устройства My Cloud компании Western Digital более года уязвимы перед проблемой обхода аутентификации - «Новости»
sitename
NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
NVIDIA приступила к производству ИИ-ускорителей GB300 / ServerNews - «Новости сети»
 10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
10 долгих лет: состоялся официальный запуск экзафлопсного суперкомпьютера Aurora / ServerNews - «Новости сети»
 «Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
«Больше похоже на Fallout, чем последние игры серии»: новый геймплей неофициального шутера Fallout: Bakersfield на движке Doom впечатлил фанатов - «Новости сети»
 Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
Cyberpunk 2077 протестировали на компьютерах Apple Mac с чипами от M1 до M4 - «Новости сети»
 Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
Asus представила 31,5-дюймовый 6K-монитор ProArt Display 6K PA32QCV для профессионалов за $1299 - «Новости сети»
 Microsoft передумала упрощать системный трей Windows 11 после негативных отзывов пользователей - «Новости сети»
Microsoft передумала упрощать системный трей Windows 11 после негативных отзывов пользователей - «Новости сети»
 Windows 11 25H2 не потерпит проблемных драйверов: Microsoft ужесточит тесты для сертификации - «Новости сети»
Windows 11 25H2 не потерпит проблемных драйверов: Microsoft ужесточит тесты для сертификации - «Новости сети»
 Возвращение к шутерам от первого лица: Ubisoft подтвердила разработку новой Ghost Recon - «Новости сети»
Возвращение к шутерам от первого лица: Ubisoft подтвердила разработку новой Ghost Recon - «Новости сети»
 В Mercedes-Benz создали самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
В Mercedes-Benz создали самый мощный в мире 13-килограммовый электродвигатель - «Новости сети»
 Bo Turbo — электросамокат с максимальной скоростью 160 км/ч и запасом хода 240 км - «Новости сети»
Bo Turbo — электросамокат с максимальной скоростью 160 км/ч и запасом хода 240 км - «Новости сети»
Новости мира Интернет » Новости » Устройства My Cloud компании Western Digital более года уязвимы перед проблемой обхода аутентификации - «Новости»

✔Устройства My Cloud компании Western Digital более года уязвимы перед проблемой обхода аутентификации - «Новости»

21 сентября 2018 1 706 Новости 0

ИБ-эксперт компании Securify рассказал о проблеме CVE-2018-17153 в NAS компании Western Digital, которую разработчики не могут исправить с апреля 2017 года. Уязвимость позволяет обойти аутентификацию и, выдав себя за администратора устройства, перехватить управление My Cloud.





Эксперт пишет, что тестировал баг на Western Digital My Cloud (модель WDBCTL0020HWT, прошивка 2.30.172), но подчеркивает, что уязвимость не ограничена только данной моделью, так как все продукты My Cloud, по сути, используют один и тот же уязвимый код.


Проблема была найдена в ходе реверс инжиниринга бинарников CGI; она позволяет атакующему обойти механизм аутентификации и создать админскую сессию, привязанную к его IP-адресу. К своему отчету исследователи Securify приложили proof-of-concept эксплоит, занимающий всего несколько строк. Также отмечается, что ту же самую уязвимость обнаружили специалисты Exploitee.rs, тоже опубликовавшие свой эксплоит в открытом доступе.





Однако основная проблема заключается не в самой уязвимости, а в том, что исследователи сообщили о баге представителям Western Digital еще в апреле 2017 года, но так и не получили от компании какого-либо ответа.


В настоящий момент патча для CVE-2018-17153 по-прежнему нет, хотя после огласки проблемы в СМИ представители Western Digital заверили, что уже работают над исправлением и выпустят «заплатку» в ближайшие недели.



Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

ИБ-эксперт компании Securify рассказал о проблеме CVE-2018-17153 в NAS компании Western Digital, которую разработчики не могут исправить с апреля 2017 года. Уязвимость позволяет обойти аутентификацию и, выдав себя за администратора устройства, перехватить управление My Cloud. Эксперт пишет, что тестировал баг на Western Digital My Cloud (модель WDBCTL0020HWT, прошивка 2.30.172), но подчеркивает, что уязвимость не ограничена только данной моделью, так как все продукты My Cloud, по сути, используют один и тот же уязвимый код. Проблема была найдена в ходе реверс инжиниринга бинарников CGI; она позволяет атакующему обойти механизм аутентификации и создать админскую сессию, привязанную к его IP-адресу. К своему отчету исследователи Securify приложили proof-of-concept эксплоит, занимающий всего несколько строк. Также отмечается, что ту же самую уязвимость обнаружили специалисты Exploitee.rs, тоже опубликовавшие свой эксплоит в открытом доступе. Однако основная проблема заключается не в самой уязвимости, а в том, что исследователи сообщили о баге представителям Western Digital еще в апреле 2017 года, но так и не получили от компании какого-либо ответа. В настоящий момент патча для CVE-2018-17153 по-прежнему нет, хотя после огласки проблемы в СМИ представители Western Digital заверили, что уже работают над исправлением и выпустят «заплатку» в ближайшие недели. Источник новости - google.com
CSS, Western Digital компании исследователи позволяет
запостил(а)
Freeman
Вернуться назад
+1

Смотрите также

А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация