Sécurité

Un chercheur découvre une porte dérobée dans les dispositifs My Cloud de Western Digital

Permettant à n'importe qui de s'y connecter

Le chercheur en sécurité James Bercegay a publié les détails de failles présentent sur certains disques durs de la gamme My Cloud de Western Digital que l’entreprise présente comme étant « un appareil de stockage dans le Cloud personnel vous permettant d’organiser vos photos et vos vidéos ». Le dispositif peut donc être utilisé à la fois par des individus comme par des entreprises. Une actualité très importante étant donné que le produit fait fureur sur les sites de ventes comme Amazon.
Pour être plus précis, le chercheur a évoqué des failles « telles que l’exécution de code racine distante pre auth, ainsi qu’un compte d’administrateur de porte dérobée codé en dur qui ne peut PAS être changé ».

Le périphérique WDMyCloud est vulnérable à un téléchargement de fichiers sans restriction dans le fichier suivant :

/usr/local/modules/web/pages/jquery/uploader/multi_uploadify.php

Comme le souligne le chercheur, la racine du problème ici est due à l’abus et à l’incompréhension de la fonction PHP gethostbyaddr () utilisée dans PHP, par le développeur de cette portion de code particulier. À partir du manuel PHP cette fonction renvoie des valeurs sont définies comme suit pour gethostbyaddr () : « Renvoie le nom d’hôte en cas de succès, l’adresse IP non modifiée en cas d’échec, ou FALSE sur une entrée mal formée. »

Autres aticles de la rubrique

Vidéo du jour

  • La fusée SpaceX a fait une grosse frayeur aux habitants de Los Angeles

    Dans la nuit de vendredi à samedi, la société SpaceX a effectué un nouveau lancement de sa fusée pour mettre en orbite basse 10 satellites de l'entreprise Iridium spécialisé dans la téléphonie par satellite, mais les habitants de Los Angeles, un peu crédules, ont cru à une invasion extraterrestre lorsqu'ils ont aperçu une traînée blanche dans le ciel.

Duel de la semaine

Newsletter

Je souhaite rester informé et recevoir toutes les informations sur TechDeGeek dans ma boite mail