Сегодня 29 марта 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → хранилище данных

В NAS от Zyxel нашли ворох критических уязвимостей, позволяющих украсть данные пользователя

Тайваньский производитель сетевого оборудования, сетевых хранилищ NAS (Network Attached Storage) и много другого оборудования Zyxel сообщил клиентам об обнаружении ряда уязвимостей в двух моделях NAS. Всего обнаружены шесть опасных уязвимостей, через которые можно взломать сетевые хранилища. Производитель уже выпустил обновления прошивки с исправлениями безопасности.

 Источник изображения: eightsoftsolution.com

Источник изображения: eightsoftsolution.com

Некоторое время назад компания Zyxel обнародовала новую рекомендацию по безопасности, касающуюся уязвимостей, выявленных в устройствах NAS. Шесть дыр могут быть использованы злоумышленниками для обхода протоколов аутентификации и внедрения вредоносных команд в операционную систему (ОС) хранилища. Пользователям настоятельно рекомендуется установить уже доступные исправления безопасности для «надёжной защиты» своих данных.

Вновь обнаруженные уязвимости, включающие три критических проблемы с очень высокими оценками серьёзности, описаны в следующих отслеживаемых CVE-бюллетенях: CVE-2023-35137, CVE-2023-35138, CVE-2023-37927, CVE-2023-37928, CVE-2023-4473, CVE-2023-4474.

  • Первая уязвимость CVE-2023-35137 получила оценку серьёзности в 7,5 балла и связана с неправильной аутентификацией на серверах Zyxel NAS. Некорректная аутентификация может позволить злоумышленнику, не прошедшему проверку подлинности, получить системную информацию с помощью специально созданного URL.
  • Вторая проблема (CVE-2023-35138) — это критическая уязвимость с оценкой серьёзности в 9,8 в функции show_zysync_server_contents. Согласно разъяснениям специалистов Zyxel, данная уязвимость может дать хакеру возможность выполнить некоторые команды операционной системы, отправив по протоколу HTTP определённый POST-запрос.
  • Третья уязвимость (CVE-2023-37927) обладает степенью серьёзности в 8,8 балла. Она связана с неправильной нейтрализацией специальных элементов в программе CGI (Common Gateway Interface — «общий интерфейс шлюза»), благодаря чему злоумышленник может выполнить команды операционной системы, отправив поддельный URL.
  • Четвёртый недостаток (CVE-2023-37928) — это уязвимость с оценкой 8,8 бала, позволяющая инъекции команд после аутентификации в WSGI-сервере (Web Server Gateway Interface), которая опять-таки может открыть возможность выполнения команд ОС через вредоносный URL.
  • Пятый изъян (CVE-2023-4473) — критическая ошибка (9,8 балла) в веб-сервере Zyxel NAS, которая может быть использована аналогичным образом.
  • Наконец, шестой дефект (CVE-2023-4474) — это очередная критическая проблема (9,8 балла), возникшая из-за некорректной нейтрализации специальных элементов в сервере WSGI.

Компания Zyxel при этом отметила качественную работу трёх исследователей — Максима Суслова, Гарбора Сельяна (Gábor Selján) и Дрю Балфура (Drew Balfour) — по обнаружению проблем в системе безопасности. Zyxel провела «тщательное расследование» с целью выявить устройства, затронутые дефектами, в число которых входят модели сетевых хранилищ NAS326 и NAS542.

Тайваньский производитель пока не анонсировал никаких возможных мер по смягчению последствий или обходных путей для защиты NAS от новых дефектов. Чтобы обезопасить свои данные от киберпреступников, пользователям необходимо установить следующие обновления прошивок: V5.21 (AAZF.15)C0 для NAS326 и V5.21(ABAG.12)C0 для NAS542.

У некоторых пользователей из «Google Диска» пропали файлы за несколько месяцев — компания запустила расследование

Пользователи облачного хранилища «Google Диск» столкнулись с потерей доступа к своим файлам. Есть сообщения как о полном исчезновении файлов из облачного сервиса, так и о потере доступа к файлам и других проблемах с облачным хранилищем. На данный момент компания Google проводит расследование инцидента и пытается решить проблему, а также рекомендует пострадавшим не вносить никаких изменений в «Google Диск».

 Источник изображения: Pixabay

Источник изображения: Pixabay

По сообщениям на форуме YCombinator's Hacker News, один из пользователей из Южной Кореи первым обратился на сайт поддержки Google с заявлением, что все его файлы, созданные после мая 2023 года, исчезли с диска. При этом они не доступны ни в папках, ни в корзине. Структура папок также «откатилась» к состоянию, в котором она была по состоянию на май 2023 года. Кроме того, человек утверждает, что никогда не передавал свои файлы или аутентификационные данные сервиса третьим лицам. Таким образом, возможность того, что первоначальный владелец файлов удалил их или это сделал кто-то из его знакомых, исключена. Пользователь выполнил несколько шагов для попытки восстановления утраченных данных, но пока эти действия не принесли желаемого результата: Google не смогла решить проблему.

Представители компании сообщили, что они уже приступили к расследованию этого случая и что они получили сообщения от пользователей «Google Диска», у которых возникли аналогичные проблемы. В то же время в заявлении представителей Google чётко сказано, что не следует пытаться восстановить Google Drive самостоятельно: «Мы также не рекомендуем вносить изменения в корневую директорию и папки с данными, пока мы ожидаем инструкции о дальнейших действиях от наших инженеров».

Тем временем, другие пользователи облачного сервиса присоединились к жалобам, открыв дополнительные темы поддержки. Один из них сообщает, что полностью потерял несколько ключевых элементов на своём «Диске», которые ранее никому не передавались, но при этом не видны ни в корзине, ни при попытках редактирования. Другой пострадавший описал проблему, при которой он может видеть только папки и вложенные папки на своём накопителе, но не сами файлы.

Следует отметить, что по сообщениям невозможно определить источник проблемы. Неясно, файлы исчезли из веб-версии «Google Диска» или при использовании его приложения, или только из синхронизированных папок на компьютерах. Не исключено, что пострадавшие не проверили все возможные места, в которых могут оказаться их файлы. Но даже в этом случае получается, что с «Диском» что-то не в порядке.

Frore Systems и OWC показали внешний 64-Тбайт SSD c ультразвуковой системой охлаждения

Компании OWC и Frore Systems показали внешний твердотельный накопитель OWC Mercury Pro U.2 Dual ёмкостью 64 Тбайт с интерфейсом Thunderbolt 3. Ключевой особенностью новинки является применяемая в нём уникальная ультразвуковая система охлаждения AirJet Mini, разработанная Frore Systems и впервые использующаяся для охлаждения SSD.

 Источник изображений: Frore Systems

Источник изображений: Frore Systems

Внешнее хранилище OWC Mercury Pro U.2 Dual выполнено в формфакторе 23,9 × 14,7 × 8,5 см и вмещает в себя восемь твердотельных NVMe-накопителей по 8 Тбайт каждый (размещённых в двух 3,5-дюймовых корзинах), что позволяет получить общий объём хранилища в 64 Тбайт. Для Mercury Pro U.2 Dual производитель заявляет скорость последовательной записи в 2700 Мбайт/с. Для подключения к компьютеру используется интерфейс Thunderbolt 3.

Каждый SSD в составе OWC Mercury Pro U.2 Dual оснащается своей собственной системой охлаждения AirJet Mini. Контакт системы охлаждения с твердотельным накопителем обеспечивается медным теплообменником и термопрокладкой. Размеры каждого блока AirJet Mini составляют 27,5 × 41,5 мм при толщине всего 2,8 мм. При этом система охлаждения способна рассеивать 5 Вт тепловой мощности. Обеспечивается это находящейся внутри каждого AirJet Mini мембраны, которая вибрируют с ультразвуковой частотой и создаёт всасывающую силу, втягивающую воздух через пылезащитный кожух. С высокой скоростью воздух направляется в нижнюю область на медный теплоотвод и выходит в боковую часть.

Благодаря возможностям охлаждения AirJet Mini хранилище способно рассеивать в общей сложности 40 Вт тепла. Если бы для такого же потенциала охлаждения использовались обычные вентиляторы, корпус хранилища должен был бы быть значительно толще, чтобы вместить дополнительное оборудование.

В ассортименте Frore Systems также имеются модели систем охлаждения AirJet Pro, способные рассеивать до 10 Вт тепловой энергии, что гораздо выше эффективности традиционных систем охлаждения для SSD. Изначально Frore Systems рекламировала свои AirJet Mini и Pro как решения для охлаждения CPU и SoC, но в данном случае производитель адаптировал их для твердотельных накопителей.

Western Digital так и не восстановила облачное хранилище My Cloud после кибератаки

Почти неделя прошла с тех пор, как Western Digital была вынуждена приостановить работу службы My Cloud из соображений безопасности — виной всему оказалась кибератака. Мера затронула сетевые дисковые хранилища (NAS) нескольких серий, однако проблема не фатальна — доступ к своей информации пользователи могут получить при помощи функции локального доступа.

 Источник изображения: westerndigital.com

Источник изображения: westerndigital.com

Инцидент, связанный с сетевой безопасностью, впервые был зафиксирован компанией 26 марта. Чуть позже, 2 апреля, Western Digital приостановила работу My Cloud, о чём отчиталась на следующий день. К настоящему моменту кардинальных изменений к лучшему не произошло, однако производитель сообщил, что владельцы My Cloud Home, My Cloud Home Duo и SanDisk ibi могут получить доступ к своим данным, сохранённым на устройствах, с помощью функции Local Access — она доступна для продуктов с My Cloud OS 5.

Для этого необходим подключенный к той же сети компьютер под Windows или macOS: для получения локального доступа потребуется создать учётную запись — процедура относительно запутанная, и инструкция для неё есть на сайте производителя только на английском языке. К тому же воспользоваться ей можно лишь на тех устройствах, что были настроены соответствующим образом до отключения сервиса My Cloud — для только что купленных экземпляров и устройств, чьи настройки были сброшены до заводских, этот способ бесполезен.

QNAP представила настольные хранилища TS-253E и TS-453E на платформе Intel Elkhart Lake

Компания QNAP Systems анонсировала сетевые хранилища данных (NAS) в настольном форм-факторе TS-253E и TS-453E. Новинки могут применяться, например, в качестве файлового сервера или системы для резервного копирования информации.

 Источник изображений: QNAP Systems

Источник изображений: QNAP Systems

В основу устройств положена аппаратная платформа Intel Elkhart Lake. Установлен процессор Celeron J6412, который содержит четыре вычислительных ядра без поддержки многопоточности. Базовая тактовая частота составляет 2,0 ГГц, максимальная частота — 2,6 ГГц. В состав изделия входит UHD-графика Intel. Хранилища несут на борту 8 Гбайт оперативной памяти.

Модель TS-253E допускает установку двух накопителей в форм-факторе 3,5/2,5 дюйма, версия TS-453E — четырёх. Интерфейс подключения — SATA 3.0; возможна «горячая» замена. Кроме того, есть два коннектора для твердотельных модулей M.2 2280 с интерфейсом PCIe 3.0 x2.

Новинки наделены двумя сетевыми портами 2.5 Gigabit Ethernet. Предусмотрены по два разъёма USB 2.0 и USB 3.2 Gen 2 Type-A, а также два интерфейса HDMI 1.4b. Применена система активного охлаждения с вентилятором.

На сетевые хранилища TS-253E и TS-453E установлена фирменная операционная система QTS 5.0.0. Сведений об ориентировочной цене устройств на данный момент нет.

Минцифры приступило к созданию единого хранилища обезличенных данных

Стало известно, что Минцифры России приступило к работе по созданию единого хранилища информации ГосДата.хаб, в котором будут объединены потоки обезличенных данных госорганов. Проект планируется реализовать в 2022-2024 годах, а опытная эксплуатация сервиса начнётся в 2023 году. Об этом пишет «Коммерсант» со ссылкой на информацию, полученную в пресс-службе ведомства.

 Источник изображения: Pixabay

Источник изображения: Pixabay

«В первую очередь запустим сервисы аналитики для ИТ и связи. Государство будет мотивировать бизнес представлять обезличенные данные по отдельным направлениям, которые критически важны для системы госуправления. Обмен данными будет двухсторонним: обезличенные данные государственных датасетов сможет использовать и бизнес для развития собственных решений», — приводит пресс-служба Минцифры слова главы ведомства Максута Шадаева.

Согласно имеющимся данным, деперсонализация данных будет осуществляться их поставщиком. Сами же датасеты будут передаваться в хранилище в уже деперсонализированном виде. Предполагается, что на начальном этапе наборы данных с ГосДата.хаба будут доступны госорганам, а позднее возможность их использования появится у бизнеса. Для реализации этого будет запущен датамаркет, который станет частью национальной системы управления данными.

Высокопроизводительное хранилище TerraMaster F4-423 оснащено четырьмя отсеками

Компания TerraMaster выпустила сетевое хранилище данных F4-423: новинка уже доступна для заказа в России по ориентировочной цене 65 тыс. рублей. Устройство выполнено в настольном форм-факторе.

 Источник изображений: TerraMaster

Источник изображений: TerraMaster

Установлен процессор Intel Celeron N5105/N5095 с четырьмя вычислительными ядрами. Есть два разъёма SO-DIMM для модулей оперативной памяти суммарным объёмом до 32 Гбайт.

Доступны четыре отсека для накопителей стандарта 3,5 или 2,5 дюйма с интерфейсом SATA 3.0. Максимальная внутренняя вместимость составляет 80 Тбайт в конфигурации 4 × 20 Тбайт.

Кроме того, устройство оснащено двумя слотами M.2 для твердотельных модулей NVMe, используемых для кеширования. Набор интерфейсов включает два сетевых порта RJ-45 2.5GbE, два порта USB 3.2 Gen 2 и разъём HDMI.

Хранилище F4-423 имеет возможность декодирования видео 4K, совместимо с протоколом uPnP/DLNA и может передавать потоковое видео на различные мультимедийные устройства, включая компьютеры, смартфоны, медиаплееры и телевизоры. Реализованы широкие возможности резервного копирования.


window-new
Soft
Hard
Тренды 🔥
Крупное обновление добавило в No Man’s Sky возможность создавать собственные космические корабли — фанаты мечтали об этом с 2016 года 4 ч.
CD Projekt раскрыла, как продвигается разработка The Witcher 4, и похвасталась успехами Cyberpunk 2077 4 ч.
Громкие анонсы «без рекламы и лишней болтовни»: ведущие инди-разработчики устроят собственную игровую презентацию The Triple-i Initiative 5 ч.
Databricks представила открытую LLM DBRX, превосходящую GPT-3.5 Turbo 5 ч.
«Всегда обидно, когда хейтеры оказываются правы»: Earthblade от авторов Celeste не выйдет и в 2024 году 6 ч.
США запретили властям использовать ИИ, который ущемляет американцев 7 ч.
Экшен-платформер Nine Sols от создателей Devotion наконец получил дату выхода — это смесь Hollow Knight и Sekiro: Shadows Die Twice в стиле даопанка 8 ч.
Разработчики Homeworld 3 раскрыли, как улучшат игру после критики фанатов 9 ч.
Экс-глава EA Russia Тони Уоткинс сделает Astrum Entertainment «компанией №1» на российском рынке видеоигр 12 ч.
Магазин чат-ботов ChatGPT провалился, но им пользуются ученики школ и университетов 12 ч.
Amazon потратит почти $150 млрд на расширение ЦОД, чтобы стать лидером в области ИИ 2 ч.
Новая статья: Обзор лазерного 4К-проектора Hisense Laser Mini Projector C1: передовые технологии в действии 3 ч.
В Китае запустили связь 5.5G — первыми её поддержку получили смартфоны Oppo Find X7 4 ч.
Apple представит обновлённые планшеты iPad Pro и iPad Air в начале мая, если слухи верны 5 ч.
Глобальное потепление замедлило вращение Земли, и в этом уже нашли плюсы 6 ч.
Nautilus запустила линейку инфраструктурных решений EcoCore для модульных ЦОД 6 ч.
Китай нарастил закупки нидерландского оборудования для выпуска чипов в несколько раз, несмотря на санкции 7 ч.
Оптика для HBM: стартап Celestial AI получил ещё $175 млн инвестиций, в том числе от AMD и Samsung 7 ч.
Logitech представила беспроводную низкопрофильную клавиатуру Signature Slim K950 7 ч.
Под давлением пользователей Google преодолела аппаратные ограничения для внедрения ИИ в Pixel 8 8 ч.