Поиск
Теги
Aliexpress 181
BLM 21
Calella 147
exler.ru 315
авто 480
аудио 7
Барселона 110
Беларусь 34
бытовуха 1503
в мире 153
вакцинация 18
велосипед 40
видео 4345
вино 363
война 622
выставки 217
гаджеты 1838
гламурье 23
детишки 46
ебанариум 22
еда 543
ЕС 87
железо 361
животные 239
жулики 248
забавно 2136
здоровье 102
игры 119
Израиль 112
ИИ 72
интересно 391
Интернет 1305
искусство 302
Испания 1247
истории 156
история 9
Италия 8
картинки 626
Каталония 136
кино 1643
Китай 6
книги 229
коронабесие 119
коронавирус 298
коронажизнь 65
кретинизм 322
криминал 1
маньяна 19
маразм 218
Маск 45
медицина 47
мне пишут 49
мои фото 218
Мордор 2868
Москва 20
музыка 921
наука 10
новости 27
о высоком 155
о низком 292
обновление 3145
паноптикум 176
поездки 1094
полезное 7
попы 201
праздники 22
происшествия 133
разное 1527
ребенок 13
реклама 426
связь 18
сериал 163
скандалы 11
скорблю 131
СМИ 2894
софт 978
социалка 187
спорт 139
США 221
СЭКС 44
технологии 183
толерастия 12
Трамп 154
трэш 9
туры 19
Украина 47
фотография 210
Франция 48
шарлатаны 31
шоу 6
экотерроризм 26
Экслер 1085
юмор 22
видео 4345
обновление 3145
СМИ 2894
Мордор 2868
забавно 2136
гаджеты 1838
кино 1643
разное 1527
бытовуха 1503
Интернет 1305
Испания 1247
поездки 1094
Экслер 1085
софт 978
музыка 921
картинки 626
война 622
еда 543
авто 480
реклама 426
интересно 391
вино 363
железо 361
кретинизм 322
exler.ru 315
искусство 302
коронавирус 298
о низком 292
жулики 248
животные 239
книги 229
США 221
мои фото 218
маразм 218
выставки 217
фотография 210
попы 201
социалка 187
технологии 183
Aliexpress 181
паноптикум 176
сериал 163
истории 156
о высоком 155
Трамп 154
в мире 153
Calella 147
спорт 139
Каталония 136
происшествия 133
скорблю 131
игры 119
коронабесие 119
Израиль 112
Барселона 110
здоровье 102
ЕС 87
ИИ 72
коронажизнь 65
мне пишут 49
Франция 48
Украина 47
медицина 47
детишки 46
Маск 45
СЭКС 44
велосипед 40
Беларусь 34
шарлатаны 31
новости 27
экотерроризм 26
гламурье 23
юмор 22
праздники 22
ебанариум 22
BLM 21
Москва 20
туры 19
маньяна 19
вакцинация 18
связь 18
ребенок 13
толерастия 12
скандалы 11
наука 10
история 9
трэш 9
Италия 8
аудио 7
полезное 7
Китай 6
шоу 6
криминал 1
Информация
Что ещё почитать
Массажные выпускные стильных подарков
09.05.2025
103
Мистер Блейк к вашим услугам
02.06.2025
34
Заплатки не будет.
Hello My Book™ Live/My Book Live Duo Customer,
If you are a My Book Live or My Book Live Duo customer, we are offering the following limited time offer:
Trade-In Offer:
Western Digital is offering current registered My Book Live or My Book Live Duo customers a trade-in discount of 40% off a select new My Cloud™ Home personal cloud storage or My Cloud EX2 Ultra 2-bay network attached storage device. For more information regarding the trade-in offer for eligible devices, please visit My Book Live and My Book Live Duo: Trade-In Offer.
Additionally, if you are a My Book Live or My Book Live Duo customer that has lost data as result of the recent security incident, we are here to help you by offering the following service.
Data Recovery Service (“DRS”) Offer:
Western Digital will help to recover your data using the data recovery services provided by a Western Digital-selected vendor. Western Digital will cover all the costs of shipment of the qualifying product to the DRS vendor and for the DRS. Recovered data, if any, will then be sent to you on one or more My Passport™ portable hard drives. For a list of qualifying products and eligibility requirements, please visit My Book Live and My Book Live Duo: Data Recovery Offer.
At Western Digital, we strive to continually improve our products and customer experiences. To take advantage of either of these services, or if you have any questions, please contact our Western Digital Support Team.
Sincerely,
Western Digital
Hackers exploited 0-day, not 2018 bug, to mass-wipe My Book Live devices
We have determined that the unauthenticated factory reset vulnerability was introduced to the My Book Live in April of 2011 as part of a refactor of authentication logic in the device firmware. The refactor centralized the authentication logic into a single file, which is present on the device as includes/component_config.php and contains the authentication type required by each endpoint. In this refactor, the authentication logic in system_factory_restore.php was correctly disabled, but the appropriate authentication type of ADMIN_AUTH_LAN_ALL was not added to component_config.php, resulting in the vulnerability. The same refactor removed authentication logic from other files and correctly added the appropriate authentication type to the component_config.php file.
Но у меня в WD Live диск несколько лет назад накрылся, так что уже не актуально...
Вывод. В QNAP в ходе доработки прошивки внесли какой-то очень серьезный баг, а потом втихую исправили. Так как шума не было, могу предположить, что условия для возникновения бага были специфичными и проявлялся он у немногих. Однако, это свидетельствует о том, что в QNAP тоже криворукие работают и неприятно, что даже в описании новых прошивок они решили не уведомлять никого об устранении подобного бага.
Надо сказать, что многие пользователи наверняка активно пользуются накопителями 15-летней давности, которые не обновлялись уже лет 10, и какие там уязвимости сидят и ждут своего часа - никто не знает.
А тот, кто проводил ревью изменений, это дело пропустил.
А потом при мерже в продакшн-стрим снова никто не заметил (ведь не может же такого быть, чтобы можно было сабмитить напрямую в продакшн?)
А среди квалификационных тестов не оказалось соответствующего теста на проверку секьюрности.
Короче, WD - это целая система раздолбайства, от которой надо держаться подальше.
Если чукча, то простительно. (простите, Чукчи)
Взлом связан с обновлением прошивки!
The My Book Live series was introduced to the market in 2010 and these devices received their final firmware update in 2015. [1]
Перевод нужен?
Да и потом, как написано, в паблике эта дыра с 2014 года, т.е. если бы кто-то додумался до этой атаки ещё тогда, то вся поддержка WD (закончилась в 2015) вам бы не помогла...
О Первой - удаленный доступ - стало известно в 2014г.
Вторая - отмена запроса пароля - была ещё раньше.
И WD знала об этом как минимум с 2018 но не желала выпускать обновление для таких старых устройств, т.к. денег же не приносит - устройства уже проданы...
Хотя уверен, что это было сделано для упрощения тестов, а потом просто забыли убрать при релизе.
Или все же касается только устройств с открытыми портами, тем более ранее инфицированных?
Или же распространялась инфицированная прошивка с бэкдором?
Или же девайс облачный, с аккаунтом в облаке WD, постоянно держит коннект с ним, а накосорезили уже из облака? (Облака производителей зло.)
И не сказать, что админы криворукие. Просто им каждый год так согласовывают бюджет на ИТ-безопасность, что часть серверов работает до сих пор на Windows Server 2003 и 2008.
И по итогам аудита было принято решение... закрыть это всё процедурами, а не обновлением хотя бы критично устаревшего ПО.
Последние прошивки на WD Live были аж в 2015 году.
Что ж вы никак читать-то не научитесь, и вините всегда "обновления прошивки".
Вкратце, любой браузер в локалке загружает вредоносную страницу в инете, внутри код, который обращается к локальному NAS по имени и исполняет код
У длинк DSL, кстати, давно была дыра, он по URL на устройство с определенным параметром светил админский пароль.
Да и смысл так крысятничать, если в репозитории все ходы записаны.
«Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью»
в любом случае, что-то не очень у них хорошие альтернативы в этой проблеме.
Или же кратко:
"Миром правит не тайная ложа, а явная лажа"
;)