1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Western Digital My Cloud: NAS…

Es hat schon seine Gründe...

  1. Thema

Neues Thema


  1. Es hat schon seine Gründe...

    Autor: mmarre 06.03.17 - 19:45

    ...warum man Devices mancher Hersteller nicht einfach ins öffentliche Netz lässt.

    Bei mir läuft eine WD EX4 seit 3 Jahren im Lan. Von außen kann ich über Nextcloud - welches auf einem Cubitruck läuft - auf definierte Shares zugreifen.

  2. Re: Es hat schon seine Gründe...

    Autor: nv1t 07.03.17 - 03:04

    Und auch das macht Probleme, nachdem die Schwachstellen ueber CSRF ausgenutzt werden koennen. Es reicht also ein Image Tag mit der richtigen IP um deine NAS zu uebernehmen.

    Mit WebRTC kriegt man die interne IP, dann sind das 252 Bilder die geladen werden muessen im Hintergrund.

    Es reicht nicht die Geraete einfach nicht ans Internet zu haengen, wenn ein surfender PC im gleichen Netzwerk ist.

  3. Re: Es hat schon seine Gründe...

    Autor: mmarre 07.03.17 - 11:13

    Hm, ausgehend von der Tatsache das man sich erst mal an Nextcloud authentifizieren muss um extern überhaupt was von der NAS zu sehen halte ich das Risiko für eher gering. Mein Interesse ausreichend zu wecken um mich auf eine (für mich) präperierte CSRF page zu locken dürfte ein Kunststück sein und meinen Respekt verdienen.

    Aber letztendlich hast Du recht: Nichts ist Narrensicher, denn Narren sind genial. Absolute Sicherheit bietet eben nur der Verzicht von IT.

    Übrigens kam folgendes gerade rein:
    https://www.securify.nl/advisory/SFY20170105/stack_based_buffer_overflow_in_western_digital_my_cloud_allows_for_remote_code_execution.html

    https://securify.nl/advisory/SFY20170103/western_digital_my_cloud_vulnerable_to_multiple_command_injection_vulnerabilities.html

    https://securify.nl/advisory/SFY20170102/authentication_bypass_vulnerability_in_western_digital_my_cloud.html

  4. Re: Es hat schon seine Gründe...

    Autor: nv1t 07.03.17 - 13:44

    Das schoene an der CSRF ist, dass es nicht auf dich zugeschnitten sein muss.
    Das geht uebrigens auch wunderschoen als DriveBy, wenn man eine XSS auf einer anderen Seite verwendet (die ja auch zuhauf existieren)

    CSRF gibt aber wirklich nur Sinn, wenn man nach dem Shotgun-Prinzip soviele wie moeglich versucht zu erwischen.

    Ja. Einige Leute sassen auf diesen Advisories und alle haben Responsible Disclosure versucht. Nur exploiteers sind aus der Reihe getanzt :D
    Ich weiss von aktuell 5 Parteien, die Advisories hierzu hatten, seit ca. dem Jahreswechsel.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Projektmitarbeiterin bzw. IT-Projektmitarbeiter (m/w/d)
    Stadtverwaltung Kaiserslautern, Kaiserslautern
  2. Leiter*in kaufmännische IT (m/w/d)
    Kreis Segeberg, Bad Segeberg
  3. IT-System-Administrator*in (m/w/d) im Storage / Fileservice-Bereich
    Humboldt-Universität zu Berlin, Berlin-Adlershof
  4. Srcum Master (w/m/d)
    VisualVest GmbH, Frankfurt am Main

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. ab 29,99€
  2. 21,59€ mit Gutscheincode HOSPITAL10 (UVP 29,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lenovo AI Now angeschaut: Lenovos KI-Assistent übernimmt bei Videokonferenzen
Lenovo AI Now angeschaut
Lenovos KI-Assistent übernimmt bei Videokonferenzen

CES 2024 Lenovos neuer KI-Assistent AI Now kann offline auf eine persönliche Wissensdatenbank zugreifen und Nutzer per Videoschleife bei Videokonferenzen vertreten.
Von Tobias Költzsch

  1. Zusammenarbeit mit Amazon Panasonic bringt neue Smart-TVs mit Fire TV
  2. Statt Smartphone KI-Gerät Rabbit R1 soll Apps selbst benutzen können
  3. Mikrooptik Ein transparentes Hologramm als Kamera

Softwareentwicklung: Scrum-Abenteuer auf der grünen Wiese
Softwareentwicklung
Scrum-Abenteuer auf der grünen Wiese

Wie wir anderthalb Jahre lang im Greenfield-Projekt Scrum versuchten, über Bord warfen und völlig deformierten - um dann zu erkennen, dass wir es lebten.
Ein Erfahrungsbericht von Rene Koch

  1. Scrum of Scrums Ein leichtgewichtiges agiles Framework

Sparsity erklärt: Wie KI-Beschleuniger ihre Rechenleistung vervielfachen
Sparsity erklärt
Wie KI-Beschleuniger ihre Rechenleistung vervielfachen

Algorithmus des Monats Das Feature Sparsity verdoppelt bei Nvidia und AMD die Rechenleistung. Wir erklären, was es damit auf sich hat und warum es für KI interessant ist - obwohl es nicht neu ist.
Von Johannes Hiltscher

  1. Reed-Solomon-Codes Der Algorithmus, der kaputte Daten repariert
  2. Kalman-Filter Der Algorithmus, der Apollo zum Mond und zurück brachte
  3. Fourier-Transformation Der Algorithmus, den jeder benutzt und kaum einer versteht