ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពរកឃើញនូវកំហុសឆ្គងមួយនៅក្នុងឧបករណ៍ My Cloud NAS របស់ក្រុមហ៊ុន Western Digital ដែលអននុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការគ្រប់គ្រងជាលក្ខណៈ Admin ទៅលើឧបករណ៍ដែលឆ្លងនោះ។ Western Digital’s My Cloud (WD My Cloud) គឺជាឧបករណ៍មួយនៅក្នុងចំណោមឧបករណ៍ network-attached storage (NAS) ដែលត្រូវប្រើប្រាស់នៅក្នុងអាជីវកម្ម និងឯកជនសម្រាប់ធ្វើការ host ទៅលើ Files របស់ពួកគេរួមទាំង Backup និង Sync ជាមួយនឹងសេវាកម្ម Cloud និង Web ជាច្រើនទៀត។
ឧបករណ៍ WD My Cloud នេះអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ជាច្រើនមិនត្រឹមតែធ្វើការចែករំលែកនូវ Files នេះនៅក្នុង Home Network នោះទេ ប៉ុន្តែសម្រាប់ Cloud ឯកជនក៏អនុញ្ញាតឱ្យចូលទៅដំណើរការទិន្នន័យចេញពីគ្រប់កន្លែងនៅជុំវិញពិភពលោក។ ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពរបស់ក្រុមហ៊ុន Securify រកឃើញនូវកំហុសឆ្គងនេះនៅក្នុង WD My Cloud NAS ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការចូលទៅកាន់ Networks ដោយមិនចាំបាច់ត្រូវការ password នោះទេ។
នេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការដំណើរការនូវ Commands ជាច្រើនសម្រាប់ធ្វើការគ្រប់គ្រងទៅលើឧបករណ៍ NAS ដែលមានចំណុចខ្សោយនេះរួមមានសមត្ថភាពនៅក្នុងការ view, copy, delete និង overwrite ទៅលើ Files ដែលរក្សាទុកនៅក្នុងឧបករណ៍នេះ។ ចំណុចរងគ្រោះនេះគឺមានឈ្មោះហៅថា CVE-2018-17153 ស្ថិតនៅក្នុងឧបករណ៍ WD My Cloud ដែលធ្វើការបង្កើតនូវ Admin Session សម្រាប់ភ្ជាប់ទៅកាន់ IP Address នោះ៕
ប្រភព៖
https://thehackernews.com/2018/09/wd-my-cloud-nas-hacking.html
