ওয়েস্টার্ন ডিজিটাল আমার মেঘের পাসওয়ার্ডগুলি দুর্বলতা আবিষ্কার করেছে

ওয়েস্টার্ন ডিজিটাল আমার মেঘ ডিভাইসগুলি একটি প্রমাণীকরণের দুর্বলতার দ্বারা প্রভাবিত হয়েছে বলে মনে হয়েছিল। কোনও হ্যাকার কোনও পাসওয়ার্ড ব্যবহার না করেই ওয়েব পোর্টালের মাধ্যমে ডিস্কটিতে সম্পূর্ণ প্রশাসনিক অ্যাক্সেস অর্জন করতে পারে, যার ফলে মাই ক্লাউড ডিভাইসের সম্পূর্ণ নিয়ন্ত্রণ অর্জন করতে পারে।

সুরক্ষা সমস্যা সহ ওয়েস্টার্ন ডিজিটাল মাই ক্লাউড

এই দুর্বলতাটি পশ্চিমা ডিজিটাল মাই ক্লাউড WDBCTL0020HWT মডেল চলমান ফার্মওয়্যার সংস্করণ 2.30.172 এ সফলভাবে যাচাই করা হয়েছে। এই সমস্যাটি কোনও একক মডেলের মধ্যে সীমাবদ্ধ নয়, যেহেতু আমার ক্লাউড সিরিজের বেশিরভাগ পণ্য একই কোড ভাগ করে এবং তাই একই সুরক্ষা সমস্যা।

ওয়েস্টার্ন ডিজিটাল মাই ক্লাউড একটি স্বল্প মূল্যের, নেটওয়ার্ক-সংযুক্ত স্টোরেজ ডিভাইস। সম্প্রতি এটি আবিষ্কার করা হয়েছিল যে কিছু জ্ঞানের অধিকারী ব্যবহারকারী সহজেই ওয়েবে লগ ইন করতে পারে এবং একটি আইপি ঠিকানার সাথে লিঙ্কযুক্ত একটি প্রশাসন অধিবেশন তৈরি করতে পারে। এই সমস্যাটি কাজে লাগিয়ে একটি অচিরাচরিত আক্রমণকারী কমান্ডগুলি কার্যকর করতে পারে যার জন্য সাধারণত প্রশাসকের অধিকার প্রয়োজন হয় এবং আমার ক্লাউড ডিভাইসের পুরো নিয়ন্ত্রণ অর্জন করতে পারে। সুরক্ষা সংক্রান্ত সমস্যাগুলি সন্ধান করতে বিপরীত প্রকৌশল সিজিআই বাইনারিগুলির সময় সমস্যাটি সনাক্ত করা হয়েছিল।

বিস্তারিত

প্রতিবার প্রশাসক প্রমাণীকরণের সময় একটি সার্ভার-সাইড সেশন তৈরি করা হয় যা ব্যবহারকারীর আইপি ঠিকানার সাথে আবদ্ধ থাকে। একবার সেশনটি তৈরি হয়ে গেলে, HTTP অনুরোধে ব্যবহারকারীর নাম = অ্যাডমিন কুকি প্রেরণ করে সত্যায়িত সিজিআই মডিউলগুলি কল করা সম্ভব। আমন্ত্রিত সিজিআই চেক করবে যে কোনও বৈধ সেশন উপস্থিত রয়েছে এবং ব্যবহারকারীর আইপি ঠিকানার সাথে লিঙ্ক রয়েছে কিনা।

এটি আবিষ্কার করা হয়েছিল যে একটি অমান্যিক আক্রমণকারী আক্রমণকারী লগ ইন না করে একটি বৈধ সেশন তৈরি করতে পারে। সিজিআই মডিউল नेटवर्क_mgr.cgi একটি cig_get_ipv6 নামে একটি কমান্ড ধারণ করে যা প্রশাসনের সেশন শুরু করে যা অনুরোধকারী ব্যবহারকারীর আইপি ঠিকানার সাথে আবদ্ধ থাকে যখন প্যারামিটার পতাকাটি সমান 1 এর সাথে অনুরোধ করা হয় যা পরবর্তী কমান্ডগুলির অনুরোধ যা সাধারণত প্রয়োজন হবে কোনও আক্রমণকারী যদি ব্যবহারকারীর নাম = অ্যাডমিন কুকি সেট করেন তবে প্রশাসকের সুবিধাগুলি এখন অনুমোদিত হবে, যা কোনও হ্যাকারের জন্য কেকের টুকরো হবে।

এই মুহুর্তে, সমস্যার সমাধান করা হয়নি, ওয়েস্টার্ন ডিজিটাল থেকে ফার্মওয়্যার আপডেটের মুলতুবি রয়েছে।

গুরু 3 ডি ফন্ট