Устройства My Cloud компании Western Digital более года уязвимы перед проблемой обхода аутентификации - «Новости»
Google сворачивает проект Privacy Sandbox после шести лет разработки - «Новости мира Интернет»
Google сворачивает проект Privacy Sandbox после шести лет разработки - «Новости мира Интернет»
Apple готовит первый MacBook с сенсорным экраном и OLED-дисплеем - «Новости мира Интернет»
Apple готовит первый MacBook с сенсорным экраном и OLED-дисплеем - «Новости мира Интернет»
В России заработал ИИ-режим от Google - «Новости мира Интернет»
В России заработал ИИ-режим от Google - «Новости мира Интернет»
YouTube представил крупнейшее обновление интерфейса видеоплеера за последние годы - «Новости мира Интернет»
YouTube представил крупнейшее обновление интерфейса видеоплеера за последние годы - «Новости мира Интернет»
Apple представила новые MacBook Pro, iPad Pro и Vision Pro на процессоре М5 - «Новости мира Интернет»
Apple представила новые MacBook Pro, iPad Pro и Vision Pro на процессоре М5 - «Новости мира Интернет»
Microsoft добавила новые ИИ-функции для Copilot в Windows 11 - «Новости мира Интернет»
Microsoft добавила новые ИИ-функции для Copilot в Windows 11 - «Новости мира Интернет»
Honor представила концепт смартфона Robot Phone с робокамерой и ИИ - «Новости мира Интернет»
Honor представила концепт смартфона Robot Phone с робокамерой и ИИ - «Новости мира Интернет»
WhatsApp введёт лимит на безответные сообщения, чтобы бороться со спамом - «Новости сети»
WhatsApp введёт лимит на безответные сообщения, чтобы бороться со спамом - «Новости сети»
Интерес к ChatGPT на смартфонах стал угасать — пользователи проводят в приложении всё меньше времени - «Новости сети»
Интерес к ChatGPT на смартфонах стал угасать — пользователи проводят в приложении всё меньше времени - «Новости сети»
Игровой ноутбук Redmagic Titan 16 Pro 2026 за $4209 получил чип Core Ultra 9 275HX и графику GeForce RTX 5090 - «Новости сети»
Игровой ноутбук Redmagic Titan 16 Pro 2026 за $4209 получил чип Core Ultra 9 275HX и графику GeForce RTX 5090 - «Новости сети»
Новости мира Интернет » Новости » Устройства My Cloud компании Western Digital более года уязвимы перед проблемой обхода аутентификации - «Новости»

ИБ-эксперт компании Securify рассказал о проблеме CVE-2018-17153 в NAS компании Western Digital, которую разработчики не могут исправить с апреля 2017 года. Уязвимость позволяет обойти аутентификацию и, выдав себя за администратора устройства, перехватить управление My Cloud.





Эксперт пишет, что тестировал баг на Western Digital My Cloud (модель WDBCTL0020HWT, прошивка 2.30.172), но подчеркивает, что уязвимость не ограничена только данной моделью, так как все продукты My Cloud, по сути, используют один и тот же уязвимый код.


Проблема была найдена в ходе реверс инжиниринга бинарников CGI; она позволяет атакующему обойти механизм аутентификации и создать админскую сессию, привязанную к его IP-адресу. К своему отчету исследователи Securify приложили proof-of-concept эксплоит, занимающий всего несколько строк. Также отмечается, что ту же самую уязвимость обнаружили специалисты Exploitee.rs, тоже опубликовавшие свой эксплоит в открытом доступе.





Однако основная проблема заключается не в самой уязвимости, а в том, что исследователи сообщили о баге представителям Western Digital еще в апреле 2017 года, но так и не получили от компании какого-либо ответа.


В настоящий момент патча для CVE-2018-17153 по-прежнему нет, хотя после огласки проблемы в СМИ представители Western Digital заверили, что уже работают над исправлением и выпустят «заплатку» в ближайшие недели.



Источник новостиgoogle.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

ИБ-эксперт компании Securify рассказал о проблеме CVE-2018-17153 в NAS компании Western Digital, которую разработчики не могут исправить с апреля 2017 года. Уязвимость позволяет обойти аутентификацию и, выдав себя за администратора устройства, перехватить управление My Cloud. Эксперт пишет, что тестировал баг на Western Digital My Cloud (модель WDBCTL0020HWT, прошивка 2.30.172), но подчеркивает, что уязвимость не ограничена только данной моделью, так как все продукты My Cloud, по сути, используют один и тот же уязвимый код. Проблема была найдена в ходе реверс инжиниринга бинарников CGI; она позволяет атакующему обойти механизм аутентификации и создать админскую сессию, привязанную к его IP-адресу. К своему отчету исследователи Securify приложили proof-of-concept эксплоит, занимающий всего несколько строк. Также отмечается, что ту же самую уязвимость обнаружили специалисты Exploitee.rs, тоже опубликовавшие свой эксплоит в открытом доступе. Однако основная проблема заключается не в самой уязвимости, а в том, что исследователи сообщили о баге представителям Western Digital еще в апреле 2017 года, но так и не получили от компании какого-либо ответа. В настоящий момент патча для CVE-2018-17153 по-прежнему нет, хотя после огласки проблемы в СМИ представители Western Digital заверили, что уже работают над исправлением и выпустят «заплатку» в ближайшие недели. Источник новости - google.com

запостил(а)
Freeman
Вернуться назад
+1

Смотрите также

А что там на главной? )))



Комментарии )))