Сегодня 24 мая 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → хранилище данных

В NAS от Zyxel нашли ворох критических уязвимостей, позволяющих украсть данные пользователя

Тайваньский производитель сетевого оборудования, сетевых хранилищ NAS (Network Attached Storage) и много другого оборудования Zyxel сообщил клиентам об обнаружении ряда уязвимостей в двух моделях NAS. Всего обнаружены шесть опасных уязвимостей, через которые можно взломать сетевые хранилища. Производитель уже выпустил обновления прошивки с исправлениями безопасности.

 Источник изображения: eightsoftsolution.com

Источник изображения: eightsoftsolution.com

Некоторое время назад компания Zyxel обнародовала новую рекомендацию по безопасности, касающуюся уязвимостей, выявленных в устройствах NAS. Шесть дыр могут быть использованы злоумышленниками для обхода протоколов аутентификации и внедрения вредоносных команд в операционную систему (ОС) хранилища. Пользователям настоятельно рекомендуется установить уже доступные исправления безопасности для «надёжной защиты» своих данных.

Вновь обнаруженные уязвимости, включающие три критических проблемы с очень высокими оценками серьёзности, описаны в следующих отслеживаемых CVE-бюллетенях: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474.

  • Первая уязвимость CVE-2023-35137 получила оценку серьёзности в 7,5 балла и связана с неправильной аутентификацией на серверах Zyxel NAS. Некорректная аутентификация может позволить злоумышленнику, не прошедшему проверку подлинности, получить системную информацию с помощью специально созданного URL.
  • Вторая проблема (CVE-2023-35138) — это критическая уязвимость с оценкой серьёзности в 9,8 в функции show_zysync_server_contents. Согласно разъяснениям специалистов Zyxel, данная уязвимость может дать хакеру возможность выполнить некоторые команды операционной системы, отправив по протоколу HTTP определённый POST-запрос.
  • Третья уязвимость (CVE-2023-37927) обладает степенью серьёзности в 8,8 балла. Она связана с неправильной нейтрализацией специальных элементов в программе CGI (Common Gateway Interface — «общий интерфейс шлюза»), благодаря чему злоумышленник может выполнить команды операционной системы, отправив поддельный URL.
  • Четвёртый недостаток (CVE-2023-37928) — это уязвимость с оценкой 8,8 бала, позволяющая инъекции команд после аутентификации в WSGI-сервере (Web Server Gateway Interface), которая опять-таки может открыть возможность выполнения команд ОС через вредоносный URL.
  • Пятый изъян (CVE-2023-4473) — критическая ошибка (9,8 балла) в веб-сервере Zyxel NAS, которая может быть использована аналогичным образом.
  • Наконец, шестой дефект (CVE-2023-4474) — это очередная критическая проблема (9,8 балла), возникшая из-за некорректной нейтрализации специальных элементов в сервере WSGI.

Компания Zyxel при этом отметила качественную работу трёх исследователей — Максима Суслова, Гарбора Сельяна (Gábor Selján) и Дрю Балфура (Drew Balfour) — по обнаружению проблем в системе безопасности. Zyxel провела «тщательное расследование» с целью выявить устройства, затронутые дефектами, в число которых входят модели сетевых хранилищ NAS326 и NAS542.

Тайваньский производитель пока не анонсировал никаких возможных мер по смягчению последствий или обходных путей для защиты NAS от новых дефектов. Чтобы обезопасить свои данные от киберпреступников, пользователям необходимо установить следующие обновления прошивок: V5.21 (AAZF.15)C0 для NAS326 и V5.21(ABAG.12)C0 для NAS542.

У некоторых пользователей из «Google Диска» пропали файлы за несколько месяцев — компания запустила расследование

Пользователи облачного хранилища «Google Диск» столкнулись с потерей доступа к своим файлам. Есть сообщения как о полном исчезновении файлов из облачного сервиса, так и о потере доступа к файлам и других проблемах с облачным хранилищем. На данный момент компания Google проводит расследование инцидента и пытается решить проблему, а также рекомендует пострадавшим не вносить никаких изменений в «Google Диск».

 Источник изображения: Pixabay

Источник изображения: Pixabay

По сообщениям на форуме YCombinator's Hacker News, один из пользователей из Южной Кореи первым обратился на сайт поддержки Google с заявлением, что все его файлы, созданные после мая 2023 года, исчезли с диска. При этом они не доступны ни в папках, ни в корзине. Структура папок также «откатилась» к состоянию, в котором она была по состоянию на май 2023 года. Кроме того, человек утверждает, что никогда не передавал свои файлы или аутентификационные данные сервиса третьим лицам. Таким образом, возможность того, что первоначальный владелец файлов удалил их или это сделал кто-то из его знакомых, исключена. Пользователь выполнил несколько шагов для попытки восстановления утраченных данных, но пока эти действия не принесли желаемого результата: Google не смогла решить проблему.

Представители компании сообщили, что они уже приступили к расследованию этого случая и что они получили сообщения от пользователей «Google Диска», у которых возникли аналогичные проблемы. В то же время в заявлении представителей Google чётко сказано, что не следует пытаться восстановить Google Drive самостоятельно: «Мы также не рекомендуем вносить изменения в корневую директорию и папки с данными, пока мы ожидаем инструкции о дальнейших действиях от наших инженеров».

Тем временем, другие пользователи облачного сервиса присоединились к жалобам, открыв дополнительные темы поддержки. Один из них сообщает, что полностью потерял несколько ключевых элементов на своём «Диске», которые ранее никому не передавались, но при этом не видны ни в корзине, ни при попытках редактирования. Другой пострадавший описал проблему, при которой он может видеть только папки и вложенные папки на своём накопителе, но не сами файлы.

Следует отметить, что по сообщениям невозможно определить источник проблемы. Неясно, файлы исчезли из веб-версии «Google Диска» или при использовании его приложения, или только из синхронизированных папок на компьютерах. Не исключено, что пострадавшие не проверили все возможные места, в которых могут оказаться их файлы. Но даже в этом случае получается, что с «Диском» что-то не в порядке.

Frore Systems и OWC показали внешний 64-Тбайт SSD c ультразвуковой системой охлаждения

Компании OWC и Frore Systems показали внешний твердотельный накопитель OWC Mercury Pro U.2 Dual ёмкостью 64 Тбайт с интерфейсом Thunderbolt 3. Ключевой особенностью новинки является применяемая в нём уникальная ультразвуковая система охлаждения AirJet Mini, разработанная Frore Systems и впервые использующаяся для охлаждения SSD.

 Источник изображений: Frore Systems

Источник изображений: Frore Systems

Внешнее хранилище OWC Mercury Pro U.2 Dual выполнено в формфакторе 23,9 × 14,7 × 8,5 см и вмещает в себя восемь твердотельных NVMe-накопителей по 8 Тбайт каждый (размещённых в двух 3,5-дюймовых корзинах), что позволяет получить общий объём хранилища в 64 Тбайт. Для Mercury Pro U.2 Dual производитель заявляет скорость последовательной записи в 2700 Мбайт/с. Для подключения к компьютеру используется интерфейс Thunderbolt 3.

Каждый SSD в составе OWC Mercury Pro U.2 Dual оснащается своей собственной системой охлаждения AirJet Mini. Контакт системы охлаждения с твердотельным накопителем обеспечивается медным теплообменником и термопрокладкой. Размеры каждого блока AirJet Mini составляют 27,5 × 41,5 мм при толщине всего 2,8 мм. При этом система охлаждения способна рассеивать 5 Вт тепловой мощности. Обеспечивается это находящейся внутри каждого AirJet Mini мембраны, которая вибрируют с ультразвуковой частотой и создаёт всасывающую силу, втягивающую воздух через пылезащитный кожух. С высокой скоростью воздух направляется в нижнюю область на медный теплоотвод и выходит в боковую часть.

Благодаря возможностям охлаждения AirJet Mini хранилище способно рассеивать в общей сложности 40 Вт тепла. Если бы для такого же потенциала охлаждения использовались обычные вентиляторы, корпус хранилища должен был бы быть значительно толще, чтобы вместить дополнительное оборудование.

В ассортименте Frore Systems также имеются модели систем охлаждения AirJet Pro, способные рассеивать до 10 Вт тепловой энергии, что гораздо выше эффективности традиционных систем охлаждения для SSD. Изначально Frore Systems рекламировала свои AirJet Mini и Pro как решения для охлаждения CPU и SoC, но в данном случае производитель адаптировал их для твердотельных накопителей.

Western Digital так и не восстановила облачное хранилище My Cloud после кибератаки

Почти неделя прошла с тех пор, как Western Digital была вынуждена приостановить работу службы My Cloud из соображений безопасности — виной всему оказалась кибератака. Мера затронула сетевые дисковые хранилища (NAS) нескольких серий, однако проблема не фатальна — доступ к своей информации пользователи могут получить при помощи функции локального доступа.

 Источник изображения: westerndigital.com

Источник изображения: westerndigital.com

Инцидент, связанный с сетевой безопасностью, впервые был зафиксирован компанией 26 марта. Чуть позже, 2 апреля, Western Digital приостановила работу My Cloud, о чём отчиталась на следующий день. К настоящему моменту кардинальных изменений к лучшему не произошло, однако производитель сообщил, что владельцы My Cloud Home, My Cloud Home Duo и SanDisk ibi могут получить доступ к своим данным, сохранённым на устройствах, с помощью функции Local Access — она доступна для продуктов с My Cloud OS 5.

Для этого необходим подключенный к той же сети компьютер под Windows или macOS: для получения локального доступа потребуется создать учётную запись — процедура относительно запутанная, и инструкция для неё есть на сайте производителя только на английском языке. К тому же воспользоваться ей можно лишь на тех устройствах, что были настроены соответствующим образом до отключения сервиса My Cloud — для только что купленных экземпляров и устройств, чьи настройки были сброшены до заводских, этот способ бесполезен.

QNAP представила настольные хранилища TS-253E и TS-453E на платформе Intel Elkhart Lake

Компания QNAP Systems анонсировала сетевые хранилища данных (NAS) в настольном форм-факторе TS-253E и TS-453E. Новинки могут применяться, например, в качестве файлового сервера или системы для резервного копирования информации.

 Источник изображений: QNAP Systems

Источник изображений: QNAP Systems

В основу устройств положена аппаратная платформа Intel Elkhart Lake. Установлен процессор Celeron J6412, который содержит четыре вычислительных ядра без поддержки многопоточности. Базовая тактовая частота составляет 2,0 ГГц, максимальная частота — 2,6 ГГц. В состав изделия входит UHD-графика Intel. Хранилища несут на борту 8 Гбайт оперативной памяти.

Модель TS-253E допускает установку двух накопителей в форм-факторе 3,5/2,5 дюйма, версия TS-453E — четырёх. Интерфейс подключения — SATA 3.0; возможна «горячая» замена. Кроме того, есть два коннектора для твердотельных модулей M.2 2280 с интерфейсом PCIe 3.0 x2.

Новинки наделены двумя сетевыми портами 2.5 Gigabit Ethernet. Предусмотрены по два разъёма USB 2.0 и USB 3.2 Gen 2 Type-A, а также два интерфейса HDMI 1.4b. Применена система активного охлаждения с вентилятором.

На сетевые хранилища TS-253E и TS-453E установлена фирменная операционная система QTS 5.0.0. Сведений об ориентировочной цене устройств на данный момент нет.


window-new
Soft
Hard
Тренды 🔥
«Есть куда стремиться»: глава FromSoftware прояснил будущее Armored Core и ответил на вопрос про Bloodborne 2 9 мин.
Angara Security создала ИБ-платформу предиктивной аналитики на основе баз данных угроз ФСТЭК и MITRE 42 мин.
За первые пять месяцев 2024 года игровые компании уволили более 10 тысяч человек — почти столько же, сколько за весь 2023-й 2 ч.
«Аська» — ВСЁ: VK закроет легендарный мессенджер ICQ 26 июня 2 ч.
Cortana, WordPad и многие другие — какие функции и приложения исчезнут с выходом Windows 11 24H2 3 ч.
Самые дорогие приложения в Google Play теперь будут стоить $999,99 3 ч.
«Одноклассники», «VK Музыка» и «Дзен» потеряли аудиторию из-за новых методов подсчёта 3 ч.
Apple пояснила, из-за чего на iPhone недавно всплыли давно удалённые фото 4 ч.
Минпромторг РФ задумался о развитии ПО для разработки микроэлектроники 4 ч.
OpenAI больше не будет принуждать экс-сотрудников к молчанию ради акций 5 ч.
SpaceX Starship в следующий раз полетит в космос 5 июня, но это не точно 52 мин.
Банк России зафиксировал всплеск активности россиян на криптовалютном рынке 3 ч.
Китайские батареи для электромобилей будут вдвое дешевле американских, даже с новыми пошлинами США 3 ч.
SpaceX не нуждается в дополнительном капитале — Маск опроверг слухи о грядущей продаже акций компании 3 ч.
«Царь во дворца»: G.Skill представила флагманскую оперативную память Trident Z5 Royal DDR5 3 ч.
Деньги на ветер: Spotify отключит автомобильные проигрыватели Car Thing и не вернёт средства 3 ч.
Micron заплатит $445 млн за воровство технологий компьютерной памяти у Netlist 4 ч.
Учёные придумали, как ускорить квантовые расчёты с помощью фрактальности 4 ч.
Подводный интернет-кабель Google Umoja впервые напрямую свяжет Африку с Австралией 6 ч.
SK hynix удалось свести брак при выпуске HBM3E до скромных 20 % 6 ч.