В сетевых хранилищах Western Digital найден бэкдор

В сетевых хранилищах Western Digital найден бэкдор

Сетевые хранилища (NAS) компании Western Digital содержат уязвимость, позволяющую злоумышленнику загружать ваши личные файлы. По словам исследователя в области безопасности Джеймса Берсегая (James Bercegay), проблема существует из-за «захардкоденного» бэкдора, который при правильной эксплуатации может позволить киберпреступнику удаленно получить доступ к фотографиям, видео и любым другим данным пользователей.

Технические подробности данной проблемы описаны в сообщении Берсегая на площадке GulfTech — все сводится к тому, что в прошивке Western Digital My Cloud содержатся жестко запрограммированные имена пользователей и пароли. Это может позволить злоумышленнику получить доступ к информации, хранящейся в NAS.

Серия продуктов WD My Cloud является одним из самых популярных решений NAS, как для предприятий, так и для постоянных клиентов, поэтому многие пользователи подвержены риску.

«Как можно увидеть в коде, функция входа в систему специально ищет администратора с именем mydlinkBRionyg и примет пароль abc12345cba, если он будет обнаружен. Это классический бэкдор», — пишет Берсегай.

По словам исследователя, злоумышленнику просто нужно войти в систему, используя эти данные, что позволит получить удаленный доступ к хранилищу.

После получения информации об уязвимости компания Western Digital попросила 90 дней на решение этой проблемы. Днако на данный момент прошло уже 180 дней, а уязвимость так и остается непропатченной.

Список затронутых устройств можно найти в опубликованном Берсегаем сообщении.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PyPI приостановил регистрацию новых пользователей из-за вредоноса

Популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

PyPI — одно из первых мест, куда идут разработчики на Python, пытаясь найти нужные пакеты. Из-за популярности репозиторий не раз становился объектом внимания киберпреступников.

Именно такую кампанию злоумышленники запустили на днях, из-за чего администраторам PyPI пришлось приостановить регистрацию новых пользователей на площадке.

 

О кибероперации также написали исследователи из Checkmarx. По их словам, атакующие сразу начали с загрузки 365 пакетов, чьи имена были замаскированы под легитимные проекты.

Все злонамеренные пакеты включали вредоносный код в файле «setup.py», который выполнялся в процессе установки. Этот код пытается получить дополнительный пейлоад с удалённого сервера.

Для ухода от детектирования вредонос зашифрован с помощь модуля Fernet, а URL командного центра собирается динамически при необходимости.

Конечный пейлоад представляет собой троян, ворующий данные пользователей, сохранённые в браузерах: логины и пароли, cookies и крипторасширения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru