События

Уязвимость в WD My Cloud позволяет получить доступ к контенту хранилища

Специалисты компании Securify обнаружили уязвимость (CVE-2018-17153) в сетевом хранилище Western Digital My Cloud, которая потенциально может быть проэкслуатирована злоумышленниками для получения доступа с правами администратора к накопителю. Затем они смогут выполнять команды, извлечь или модифицировать хранящиеся на устройстве данные, а также удалить файлы и папки.

Проблема заключается в механизме создания сеансов администратора, которые привязаны к IP-адресу. По словам экспертов, неавторизованный злоумышленник может создать валидную сессию без необходимости аутентификации. После создания сеанса возможно вызвать аутентифицированные модули CGI путем отправки HTTP-запроса, содержащего файл cookie username=admin. Таким образом атакующий получит возможность выполнять команды, которые обычно требуют прав администратора.

Исследователи протестировали уязвимость на устройстве Western Digital My Cloud WDBCTL0020HWT с версией прошивки 2.30.172, но, по их словам, проблема распространяется и на другие модели, поскольку большинство продуктов WD использует тот же уязвимый код. Специалисты также опубликовали PoC-код для эксплуатации CVE-2018-17153.

Компании Western Digital известно об уязвимости с апреля текущего года, однако спустя пять месяцев проблема все еще не исправлена. Когда производитель намерен выпустить соответствующее обновление, на данный момент неясно.

Источник

Автор: Сергей Куприянов
19.09.2018 (12:17)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.