Sécurité

Les appareils My Cloud de Western Digital sont vulnérables au contournement de l’authentification depuis plus d’un an

0

Un expert en sécurité de Securify a parlé du problème CVE-2018-17153 dans le NAS numérique Western Digital, que les développeurs n’ont pas pu résoudre depuis avril 2017. La vulnérabilité vous permet de contourner l’authentification et de prendre le contrôle de My Cloud en tant qu’administrateur de périphérique.

L’expert écrit qu’il a testé le bogue sur le Western Digital My Cloud (modèle WDBCTL0020HWT, firmware 2.30.172), mais souligne que la vulnérabilité ne se limite pas à ce modèle, car tous les produits My Cloud utilisent en fait le même code vulnérable.

Le problème a été découvert lors de l’ingénierie inverse des fichiers binaires CGI. il permet à un attaquant de contourner le mécanisme d’authentification et de créer une session d’administrateur liée à son adresse IP. Les chercheurs de Securify ont associé à leur rapport un exploit de validation de concept qui n’occupe que quelques lignes. Il est également noté que la même vulnérabilité a été découverte par les experts d’ Exploitee.rs , qui ont également publié leur exploit en accès libre.

 

Cependant, le principal problème ne réside pas dans la vulnérabilité elle-même, mais dans le fait que des chercheurs ont signalé un bug aux représentants de Western Digital en avril 2017, mais ils n’ont reçu aucune réponse de la part de la société.

Pour le moment, il n’y a toujours pas de correctif pour CVE-2018-17153, bien qu’après avoir annoncé les problèmes dans les médias, les représentants de Western Digital aient assuré qu’ils travaillaient déjà sur un correctif et qu’ils publieraient un correctif dans les prochaines semaines.

Mise à jour :

Les développeurs WD ont publié un correctif pour un problème dangereux.

Arthur Benchetrit
Arthur, 19 ans, jeune blogueur passionné par les nouvelles technologies, j'aime réaliser des vidéos de tests, déballages et des tutoriels

Le ver WannaMine s’attaque toujours aux grandes entreprises

Article précédent

Apple a supprimé des milliers d’applications de l’App Store chinois

Article suivant

Vous pourriez aussi aimer

Commentaires

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Plus dans Sécurité