Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.

H Western Digital πουλάει από ότι φαίνεται τις λύσεις NAS (Network Attached Storage) της από τη σειρά My Cloud με ενσωματωμένη… “κερκόπορτα” (backdoor). Μάλιστα δεν πρόκειται για κάτι πολύπλοκο – οποιοσδήποτε κακόβουλος χρήστης είναι σε θέση να την εκμεταλλευτεί αν το επιθυμεί.

Και αυτό πηγάζει από το γεγονός ότι πρόκειται για μία “hard coded backdoor” με αμετάβλητα διαπιστευτήρια – η είσοδος στη λύση My Cloud της εταιρείας είναι τόσο απλή όσο η εισαγωγή του "mydlinkBRionyg" ως όνομα χρήστη με δικαιώματα Administrator και του "abc12345cba" ως του αντίστοιχου κωδικού πρόσβασης. Μόλις κάποιος εισάγει τα παραπάνω, αποκτάει πρόσβαση στο shell, και επομένως έχει δυνατότητα για να προχωρήσει στο injection εντολών.

Τα ευρήματα του για την κερκόπορτα δημοσίευσε πρόσφατα ο ερευνητής ασφαλείας James Bercegay της GulfTech Research and Development και κοινοποιήθηκαν στην Western Digital στις 12 Ιουνίου του 2017. Παρόλα αυτά, αν και έχουν περάσει σχεδόν έξι μήνες από τότε που γνωστοποιήθηκε το κενό ασφαλείας ή η ευπάθεια στην κατασκευάστρια εταιρεία δεν έχουν υπάρξει εξελίξεις και δεν έχει διατεθεί κάποιο patch ή fix που να το αντιμετωπίζει.

Ακριβώς για αυτό το λόγο, οι ερευνητές αποφάσισαν να δημοσιοποιήσουν τα ευρήματα τους ώστε να ευαισθητοποιηθεί η WD και να λάβει άμεσα μέτρα. Το ζήτημα είναι ότι ο ιδιοκτήτης της οποιασδήποτε λύσης My Cloud δεν είναι απαραίτητο να κάνει κάτι για να δώσει τη δυνατότητα σε επιτιθέμενους να εκμεταλλευτούν το exploit – μία απλή επίσκεψη σε κακόβουλες ιστοσελίδες μπορεί να αφήσει τους σκληρούς δίσκους του NAS εκτεθειμένους σε επιθέσεις (η κυκλοφορία μάλιστα του Metasploit module που εκμεταλλεύεται τη συγκεκριμένη ευπάθεια λογικά θα έχει ανησυχήσει τους ερευνητές ασφαλείας της WD).

1.jpg.e16f7c8654219076059950a78b087f60.jpg

Ανάμεσα στα ευάλωτα μοντέλα My Cloud της Western Digital είναι τα My Cloud Gen 2, My Cloud EX2, My Cloud EX2 Ultra, My Cloud PR2100, My Cloud PR4100, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 και My Cloud DL4100.

2.jpg.cdb0015991ae4a0d47ebe124d4fdbecf.jpg

TechPowerUp


Δείτε ολόκληρο το article

  • Like 1
  • Απαντ. 54
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοσ.

Δώσε τρύπες στο λαό. Τρύπιοι επεξεργαστές, συστήματα σκληρών δίσκων τρύπια , λειτουργικά συστήματα γεμάτα γάζες. Απο το 1990 και σήμερα ότι έχει βγει στην αγορά είναι είτε κλεμμένο είτε με τεράστια κενά ασφαλείας βλέπε Intel , Microsoft, Western Digital και λοιπές εταιρίες. Υπερτιμημένο και γεμάτο bugs Λογισμικό. Hardware υπερτιμημένο και γεμάτο κενά ασφαλείας... Μια ζωή στην ξεφτίλα, εταιρίες θησαύρισαν πουλώντας σκουπίδια και τεχνολογία με το σταγονόμετρο επί 27 ολόκληρα χρόνια.. Ευτυχώς που υπάρχει και η Amd Και το Open Source λογισμικό ακόμα γιατι αλλιώς και η Intel δεν θα είχε μπεί στην διαδικασία να φτιάξει καν dual core επεξεργαστή έστω και με hyperthreading .... Αρκουδέηδες :P

  • Like 15
  • Thanks 1
  • Sad 1
Δημοσ.
2 λεπτά πριν, ZahosDoganos είπε

Πάρε και συ ένα κύπελλο μαζι με ιντελ. 

SAM602_604_90_0_0.jpg.52ffcffd3220d9b943bc307e32c865d7.jpg

Ρε ψηλέ , είναι συμβατό με μακαρόνια η θα πρέπει να περιμένω Service Pack 1 ? :P

  • Like 2
  • Thanks 1
Δημοσ.

Αρχίζω να πιστεύω ότι όλα αυτά είναι μέρος ενός ευρύτερου σχεδίου της silicon valley και όλων των λοιπών it experts ανά την υφήλιο, στο πλαίσιο του οράματος για το IoT. Να έχουμε όλοι πρόσβαση σε όλα, να μην κλειδώνει τίποτα και να προωθηθεί η ισότητα των λαών, ο απανταχού διαμοιρασμός των υλικών και πνευματικών αγαθών, η συλλογική προώθηση της γνώσης, η ισότιμη πρόσβαση στην πληροφορία για όλους. Μια αναρχική-μηδενιστική-ντεκονστρουκτιβιστική προσέγγιση για το μέλλον της ανθρωπότητας.

  • Like 4
Δημοσ.
1 λεπτό πριν, blueakamah είπε

Ρε ψηλέ , είναι συμβατό με μακαρόνια η θα πρέπει να περιμένω Service Pack 1 ? :P

οχι μαν δεν ειναι συμβατό και με software fix δεν θα κανεις κατι, πρέπει να πάρεις το νεο μοντέλο 

  • Like 3
Δημοσ.

Το ότι σαν εταιρεία ενημερώθηκε και δεν κάνει τίποτα με ξεπερνάει, δεν φαντάζομαι ότι θα τους ήταν τόσο δύσκολο. Επίσης με ξεπερνάει η νοοτροπία πολλών γνωστών μου "ότι δεν τρέχει τίποτα".

  • Like 1
Δημοσ.
2 λεπτά πριν, Nick77 είπε

Αρχίζω να πιστεύω ότι όλα αυτά είναι μέρος ενός ευρύτερου σχεδίου της silicon valley και όλων των λοιπών it experts ανά την υφήλιο, στο πλαίσιο του οράματος για το IoT. Να έχουμε όλοι πρόσβαση σε όλα, να μην κλειδώνει τίποτα και να προωθηθεί η ισότητα των λαών, ο απανταχού διαμοιρασμός των υλικών και πνευματικών αγαθών, η συλλογική προώθηση της γνώσης, η ισότιμη πρόσβαση στην πληροφορία για όλους. Μια αναρχική-μηδενιστική-ντεκονστρουκτιβιστική προσέγγιση για το μέλλον της ανθρωπότητας.

Δεν το βλεπω και τοόσο κακό αυτο.. :)

Πάντος είναι τρομακτικά αυτά που ακούμε τελευταία.. και μήν ακούσω κανέναν να λέει για ιδιωτική ζωή και να το πιστεύει στ`αλήθεια..

Δημοσ.

Βάλε τις IP camera και τα εκατομμύρια echo και google mini που πουλήθηκαν κάτω του κόστους για να μπουν στα σπίτια και καταλαβαίνει κανείς το μεγαλο αδελφό που ζούμε. Η αποτροπή εγκλημάτων είναι η μια παράμετρος. Η άλλη είναι εξόντωση αντιπάλων μέσω γνωσης προσωπικών δεδομένων. 

  • Like 1
Δημοσ.
39 λεπτά πριν, Nick77 είπε

Αρχίζω να πιστεύω ότι όλα αυτά είναι μέρος ενός ευρύτερου σχεδίου της silicon valley και όλων των λοιπών it experts ανά την υφήλιο, στο πλαίσιο του οράματος για το IoT. Να έχουμε όλοι πρόσβαση σε όλα, να μην κλειδώνει τίποτα και να προωθηθεί η ισότητα των λαών, ο απανταχού διαμοιρασμός των υλικών και πνευματικών αγαθών, η συλλογική προώθηση της γνώσης, η ισότιμη πρόσβαση στην πληροφορία για όλους. Μια αναρχική-μηδενιστική-ντεκονστρουκτιβιστική προσέγγιση για το μέλλον της ανθρωπότητας.

Παγκοσμιος κομουνισμος...

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα

  • Δημιουργία νέου...