Поиск
Теги
Aliexpress 181
BLM 21
Calella 147
exler.ru 318
авто 482
аудио 7
Барселона 111
Беларусь 34
бытовуха 1504
в мире 156
вакцинация 18
велосипед 40
видео 4365
вино 363
война 633
выставки 217
гаджеты 1847
гламурье 23
детишки 46
ебанариум 23
еда 545
ЕС 89
железо 362
животные 239
жулики 248
забавно 2139
здоровье 103
игры 119
Израиль 114
ИИ 74
интересно 391
Интернет 1307
искусство 302
Испания 1254
истории 156
история 9
Италия 8
картинки 626
Каталония 136
кино 1644
Китай 6
книги 229
коронабесие 119
коронавирус 298
коронажизнь 65
кретинизм 322
криминал 1
маньяна 19
маразм 219
Маск 45
медицина 47
мне пишут 49
мои фото 218
Мордор 2900
Москва 20
музыка 924
наука 10
новости 27
о высоком 155
о низком 292
обновление 3162
паноптикум 177
поездки 1094
полезное 7
попы 201
праздники 22
происшествия 138
разное 1531
ребенок 13
реклама 427
связь 18
сериал 165
скандалы 11
скорблю 131
СМИ 2907
софт 982
социалка 187
спорт 139
США 227
СЭКС 44
технологии 184
толерастия 12
Трамп 163
трэш 9
туры 20
Украина 47
фотография 210
Франция 48
шарлатаны 31
шоу 6
экотерроризм 27
Экслер 1085
юмор 22
видео 4365
обновление 3162
СМИ 2907
Мордор 2900
забавно 2139
гаджеты 1847
кино 1644
разное 1531
бытовуха 1504
Интернет 1307
Испания 1254
поездки 1094
Экслер 1085
софт 982
музыка 924
война 633
картинки 626
еда 545
авто 482
реклама 427
интересно 391
вино 363
железо 362
кретинизм 322
exler.ru 318
искусство 302
коронавирус 298
о низком 292
жулики 248
животные 239
книги 229
США 227
маразм 219
мои фото 218
выставки 217
фотография 210
попы 201
социалка 187
технологии 184
Aliexpress 181
паноптикум 177
сериал 165
Трамп 163
в мире 156
истории 156
о высоком 155
Calella 147
спорт 139
происшествия 138
Каталония 136
скорблю 131
игры 119
коронабесие 119
Израиль 114
Барселона 111
здоровье 103
ЕС 89
ИИ 74
коронажизнь 65
мне пишут 49
Франция 48
Украина 47
медицина 47
детишки 46
Маск 45
СЭКС 44
велосипед 40
Беларусь 34
шарлатаны 31
экотерроризм 27
новости 27
ебанариум 23
гламурье 23
юмор 22
праздники 22
BLM 21
туры 20
Москва 20
маньяна 19
вакцинация 18
связь 18
ребенок 13
толерастия 12
скандалы 11
наука 10
история 9
трэш 9
Италия 8
аудио 7
полезное 7
Китай 6
шоу 6
криминал 1
Информация
Что ещё почитать
Заплатки не будет.
Hello My Book™ Live/My Book Live Duo Customer,
If you are a My Book Live or My Book Live Duo customer, we are offering the following limited time offer:
Trade-In Offer:
Western Digital is offering current registered My Book Live or My Book Live Duo customers a trade-in discount of 40% off a select new My Cloud™ Home personal cloud storage or My Cloud EX2 Ultra 2-bay network attached storage device. For more information regarding the trade-in offer for eligible devices, please visit My Book Live and My Book Live Duo: Trade-In Offer.
Additionally, if you are a My Book Live or My Book Live Duo customer that has lost data as result of the recent security incident, we are here to help you by offering the following service.
Data Recovery Service (“DRS”) Offer:
Western Digital will help to recover your data using the data recovery services provided by a Western Digital-selected vendor. Western Digital will cover all the costs of shipment of the qualifying product to the DRS vendor and for the DRS. Recovered data, if any, will then be sent to you on one or more My Passport™ portable hard drives. For a list of qualifying products and eligibility requirements, please visit My Book Live and My Book Live Duo: Data Recovery Offer.
At Western Digital, we strive to continually improve our products and customer experiences. To take advantage of either of these services, or if you have any questions, please contact our Western Digital Support Team.
Sincerely,
Western Digital
Hackers exploited 0-day, not 2018 bug, to mass-wipe My Book Live devices
We have determined that the unauthenticated factory reset vulnerability was introduced to the My Book Live in April of 2011 as part of a refactor of authentication logic in the device firmware. The refactor centralized the authentication logic into a single file, which is present on the device as includes/component_config.php and contains the authentication type required by each endpoint. In this refactor, the authentication logic in system_factory_restore.php was correctly disabled, but the appropriate authentication type of ADMIN_AUTH_LAN_ALL was not added to component_config.php, resulting in the vulnerability. The same refactor removed authentication logic from other files and correctly added the appropriate authentication type to the component_config.php file.
Но у меня в WD Live диск несколько лет назад накрылся, так что уже не актуально...
Вывод. В QNAP в ходе доработки прошивки внесли какой-то очень серьезный баг, а потом втихую исправили. Так как шума не было, могу предположить, что условия для возникновения бага были специфичными и проявлялся он у немногих. Однако, это свидетельствует о том, что в QNAP тоже криворукие работают и неприятно, что даже в описании новых прошивок они решили не уведомлять никого об устранении подобного бага.
Надо сказать, что многие пользователи наверняка активно пользуются накопителями 15-летней давности, которые не обновлялись уже лет 10, и какие там уязвимости сидят и ждут своего часа - никто не знает.
А тот, кто проводил ревью изменений, это дело пропустил.
А потом при мерже в продакшн-стрим снова никто не заметил (ведь не может же такого быть, чтобы можно было сабмитить напрямую в продакшн?)
А среди квалификационных тестов не оказалось соответствующего теста на проверку секьюрности.
Короче, WD - это целая система раздолбайства, от которой надо держаться подальше.
Если чукча, то простительно. (простите, Чукчи)
Взлом связан с обновлением прошивки!
The My Book Live series was introduced to the market in 2010 and these devices received their final firmware update in 2015. [1]
Перевод нужен?
Да и потом, как написано, в паблике эта дыра с 2014 года, т.е. если бы кто-то додумался до этой атаки ещё тогда, то вся поддержка WD (закончилась в 2015) вам бы не помогла...
О Первой - удаленный доступ - стало известно в 2014г.
Вторая - отмена запроса пароля - была ещё раньше.
И WD знала об этом как минимум с 2018 но не желала выпускать обновление для таких старых устройств, т.к. денег же не приносит - устройства уже проданы...
Хотя уверен, что это было сделано для упрощения тестов, а потом просто забыли убрать при релизе.
Или все же касается только устройств с открытыми портами, тем более ранее инфицированных?
Или же распространялась инфицированная прошивка с бэкдором?
Или же девайс облачный, с аккаунтом в облаке WD, постоянно держит коннект с ним, а накосорезили уже из облака? (Облака производителей зло.)
И не сказать, что админы криворукие. Просто им каждый год так согласовывают бюджет на ИТ-безопасность, что часть серверов работает до сих пор на Windows Server 2003 и 2008.
И по итогам аудита было принято решение... закрыть это всё процедурами, а не обновлением хотя бы критично устаревшего ПО.
Последние прошивки на WD Live были аж в 2015 году.
Что ж вы никак читать-то не научитесь, и вините всегда "обновления прошивки".
Вкратце, любой браузер в локалке загружает вредоносную страницу в инете, внутри код, который обращается к локальному NAS по имени и исполняет код
У длинк DSL, кстати, давно была дыра, он по URL на устройство с определенным параметром светил админский пароль.
Да и смысл так крысятничать, если в репозитории все ходы записаны.
«Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью»
в любом случае, что-то не очень у них хорошие альтернативы в этой проблеме.
Или же кратко:
"Миром правит не тайная ложа, а явная лажа"
;)