https://opennet.dev/openforum/vsluhforumID3/115345.html В выпускаемых компанией Western Digital сетевых хранилищах My Cloud (https://www.wdc.com/products/personal-cloud-storage/my-cloud.html) выявлена уязвимость (https://www.securify.nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html) (CVE-2018-17153), позволяющая получить доступ к хранимым данным без прохождения аутентификации. <br><br><br><br>Для входа в web-интерфейс устройства достаточно было отправить запрос к скрипту /cgi-bin/network_mgr.cgi, установив Cookie "username=admin", и система предоставляла доступ с правами администратора не запрашивая пароль входа. Для генерации сессионного ключа для продолжения сеанса и обращения к другим скриптам с правами администратора можно отправить POST-запрос "cmd=cgi_get_ipv6&flag=1". Успешная атака позволяет полностью контролировать настройки устройства, а также читать, модифицировать и удалять любые данные в хранилище. <br><br><br>Компания Western Digital была информирована о проблеме ещё в апреле, но до с https://opennet.dev/openforum/vsluhforumID3/115345.html#65 Mon, 24 Sep 2018 13:17:07 GMT Не знаю как они это своё поделие рекламируют. Возможно, постепенно приучают пользователей к облачным сервисам. Наверняка через пару поколений коробка от WD NAS уже и винчестера-то содержать не будет. Пользователю так проще и надёжнее.<br> https://opennet.dev/openforum/vsluhforumID3/115345.html#64 Mon, 24 Sep 2018 10:22:17 GMT &gt; А он осилит вне зависимости от того, использовал WD общедоступные исходники или нет<br><br>ему окажется дороже, чем просто копипастить - поэтому до сих пор и ниасилил.<br><br>&gt; Вот чего он не сможет скопипастить, так это торговую марку, сеть сервисных центров и договора <br>&gt; с крупным ритейлом.<br><br>лолшта? Торговая марка уже даже "native americans" последние тридцать лет не колебет, они привыкли что все делается в китае. сервисные центры, этой хни, ты о чем ваще? Нормальный человек в нормальной стране не будет общаться с сервис-центром, это делают в исключительных случаях, а отправит коробку обратно в магазин - и ему там с извинениями вернут бабки или поменяют на другую, необязательно с тем же лейблом.<br>"Крупные ритейлы" завалены под потолок китайским мусором, поди еще доройся там до этой wd.<br><br>но есть нюанс - китайский мусор - это просто внешние hdd. уже внешний китайский nas - штука крайне редкая и дорогая (потому что редкая, и потому что незачем продавать сильно дешевле сигейтовского), а китайских хомеклаудов я что https://opennet.dev/openforum/vsluhforumID3/115345.html#63 Sat, 22 Sep 2018 22:50:30 GMT &gt;&gt; их последние продукты этой линейки - откровенная дичь, совместимые только с Windows или Android.<br>&gt; Сйчас существуют WD My Cloud (AKA Ex2/4) и WD My Cloud HOME. <br>&gt; Под первое портирован дебиан и там, если снести сабжевый баговитый софт, <br>&gt; в общем-то всё хорошо, кроме охлаждения, ресурсов и т.п. А второе <br>&gt; - это вот та самая откровенная дичь. Видел жалобы людей, которые <br>&gt; не могли получить доступ к своему стораджу, который вот тут вот <br>&gt; на столе рядом стоит потому, что РКН подрезал доступ к каким-то <br>&gt; там сайтам. WD скатился в какую-то хмурую норкоманию.<br><br>Я вообще не понимаю почему NAS. который стоит, как вы говорите, вот тут на столе, мало того что необходимо привязывать к стороннему сервису, даром что от производителя, так еще и доступ почему-то осуществляется не напрямую, а с участием производителя.<br>Как рекламирует это WD? "Вы сможете получить доступ к своему облачку из любой точки мира". ок, то есть NAS держит постоянный контакт с сервисами WD? очередной сервис для жертв NAT-а?<br>А что насч https://opennet.dev/openforum/vsluhforumID3/115345.html#61 Sat, 22 Sep 2018 07:24:00 GMT Охеренный бэкдорчик. Это настолько тупо, что даже банальной ошибкой или раззвездяйством быть не может.<br><br>Что же до вообще - хомячки, вывесившие это в инет - ссзб. Сторейдж в клауд и открытую сеть смотреть не должен вообще. Клауд сторейдж - вообще зло злобное, только для пошарить фоточки подружкам, и то только те, которые не жалко во всеувиденье вывесить. Для всего остального - только локальный доступ. <br> https://opennet.dev/openforum/vsluhforumID3/115345.html#60 Fri, 21 Sep 2018 20:52:21 GMT &gt; и если, не дай MS, он осилит собрать у себя такой вот <br>&gt; аналог "wd cloud" (на самом деле, как мы все понимаем, нужен <br>&gt; просто хост с белым ip, куда хомячковые насы будут коннектиться, пробивая <br>&gt; дырку в нате) и скопипастить те самые кривые скрипты - у <br>&gt; wd может накрыться приятный ненапряжный бизнес, по продаже дисков и дрянной <br>&gt; платки на a20 вдвое дороже чем они стоят.<br><br>А он осилит вне зависимости от того, использовал WD общедоступные исходники или нет &#8212; исходники-то общедоступные. <br><br>Вот чего он не сможет скопипастить, так это торговую марку, сеть сервисных центров и договора с крупным ритейлом.<br><br>Так что кончай бредить, бизнес WD без опасносте.<br> https://opennet.dev/openforum/vsluhforumID3/115345.html#59 Fri, 21 Sep 2018 17:43:23 GMT &gt; их последние продукты этой линейки - откровенная дичь, совместимые только с Windows или Android. <br><br>Сйчас существуют WD My Cloud (AKA Ex2/4) и WD My Cloud HOME. Под первое портирован дебиан и там, если снести сабжевый баговитый софт, в общем-то всё хорошо, кроме охлаждения, ресурсов и т.п. А второе - это вот та самая откровенная дичь. Видел жалобы людей, которые не могли получить доступ к своему стораджу, который вот тут вот на столе рядом стоит потому, что РКН подрезал доступ к каким-то там сайтам. WD скатился в какую-то хмурую норкоманию.<br> https://opennet.dev/openforum/vsluhforumID3/115345.html#58 Fri, 21 Sep 2018 17:33:34 GMT &gt; Ага, особенно смешно будет когда через Х лет они забьют обновлять этот свой левый "драйвер" для Виндоус и приложение для Андроида. И все, на помойку.<br><br>Новость там, наверху страницы, читали? Они, походу, забили на этот свой софт ещё в процессе его написания.<br><br> https://opennet.dev/openforum/vsluhforumID3/115345.html#57 Fri, 21 Sep 2018 16:37:58 GMT &gt; кроили, готовый нас не взлетит<br><br>два ядра, полгига, куда больше то? Я хренею с ваших "готовых nas" в этом случае.<br><br> https://opennet.dev/openforum/vsluhforumID3/115345.html#56 Fri, 21 Sep 2018 16:35:47 GMT понимаешь в чем дело - дядя Ляо у себя в подвале тоже умеет запихать диск с той же самой тайваньской фабрички (тоже купленный отнюдь не по розничным ценам) в точно такой же пластмассовый корпус.<br><br>и если, не дай MS, он осилит собрать у себя такой вот аналог "wd cloud" (на самом деле, как мы все понимаем, нужен просто хост с белым ip, куда хомячковые насы будут коннектиться, пробивая дырку в нате) и скопипастить те самые кривые скрипты - у wd может накрыться приятный ненапряжный бизнес, по продаже дисков и дрянной платки на a20 вдвое дороже чем они стоят.<br><br>wd этого не хочет, а хочет протянуть подольше. Поэтому будет вот такая (китайская же) самосборка и блобы вместо открытых прошивок.<br><br>Тогда дядя Ляо придет не за ними, а за теми, от кого можно откусить кусок пожирнее и без гвоздиков внутри.<br><br>Так - они тоже умеют. Выживают те, кто попадает в дырку между действительно стоящими продуктами и такой дрянью, что каждый ляо у себя в подвале испечет.<br><br>