западни дигитални бродови 'нечија стражња врата' са мојим облачним дисковима | тецхповеруп - Западни

Вестерн дигитални бродови 'Нечија стражња врата' са мојим облачним погонима



Western Digital has seemingly been shipping their My Cloud personal network attached storage solutions with an integrated backdoor. It's not really that complicated a backdoor either - a malicious user should always be able to use it. That stems from the fact that it's a hard coded backdoor with unchangeable credentials - logging in to someone's My Cloud is as simple as inputing 'mydlinkBRionyg' as the Administrator username and 'abc12345cba' as the respective password. Once logged in, shell access is unlocked, which allows for easy injection of commands.

Поклон је објавио Јамес Берцегаи, са компанијом ГулфТецх Ресеарцх анд Девелопмент, и објављен је Вестерн Дигиталу 12. јуна 2017. Међутим, пошто је прошло више од 6 месеци без примене закрпа или решења, истраживачи су открили и објавили часопис рањивост, која би (требала) коначно подстаћи ВД на акцију на поправљању проблема. Погоршавајући ствари, нису потребни никакви поступци корисника како би се нападачи могли искористити искориштавањем - једноставна посета злонамерним веб локацијама може оставити дискове широм отвореним за експлоатацију - а излазак Метасплоит модула због ове веома рањивости значи да је код сада вани, а Вестерн Дигитал има трку у својим рукама. Ствар је у томе да то не мора имати. Коришћени модели МиЦлоуд уређаја Вестерн Дигитал укључују Ми Цлоуд Ген 2, Ми Цлоуд ЕКС2, Ми Цлоуд ЕКС2 Ултра, Ми Цлоуд ПР2100, Ми Цлоуд ПР4100, Ми Цлоуд ЕКС4, Ми Цлоуд ЕКС2100, Ми Цлоуд ЕКС4100, Ми Цлоуд ДЛ2100 и Ми Цлоуд ДЛ4100. Непотребно је рећи да, све док не буде издана закрпа, најбоља ствар коју треба учинити је да темељно одспојите ове уређаје из ваше локалне мреже и приступа Интернету. Али то нису корисници који су првобитно купили ове уређаје, сада је то, ВД? Sources: GulfTech.org, via TechSpot, Packet Storm Security