События

Уязвимость в накопителях WD My Cloud открывает доступ к файлам любому пользователю

Дефолтная конфигурация сетевых накопителей Western Digital My Cloud EX2 предоставляет любому неавторизованному пользователю в локальной сети извлечь файлы путем отправки HTTP-запросов, предупредили специалисты компании Trustwave.

Проблема заключается в том, что при включении устройства автоматически запускается UPnP-медиасервер, по умолчанию разрешающий любому пользователю, который может отправлять HTTP-запросы на устройство, извлекать любые файлы. Таким образом возможно обойти любые разрешения или ограничения, установленные владельцем либо администратором устройства.

«Файлы возможно извлечь даже в том случае, если доступ к папке Public заблокирован. В частности, кто угодно может отправить HTTP-запрос к TMSContentDirectory/Control на порт 9000 с различными инструкциями. Ответ на запрос Browse будет содержать XML файл URL-адресами файлов, хранящихся на устройстве», - пояснили исследователи. Далее с помощью HTTP-запросов атакующий может скачать файлы с устройства.

Специалисты проинформировали компанию Western Digital о проблеме в январе нынешнего года, однако производитель заявил, что не будет выпускать патч. В качестве меры по предотвращению эксплуатации уязвимости пользователям рекомендуется отключить DLNA, если на устройстве хранятся важные данные.

WD My Cloud — персональный облачный накопитель для систематизированного хранения фотографий и видео.

DLNA (Digital Living Network Alliance) — набор стандартов, позволяющих совместимым устройствам передавать и принимать по домашней сети различный медиа-контент (изображения, музыку, видео), а также отображать его в режиме реального времени.

Источник

Автор: Сергей Куприянов
27.04.2018 (18:03)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.