Ernstige lekken in Western Digital TV Media Player ongepatcht
In de TV Media Player van harde schijffabrikant Western Digital bevinden zich meerdere ernstige beveiligingslekken waardoor een aanvaller het apparaat volledig kan overnemen en daarvandaan zelfs het achterliggende netwerk kan compromitteren en updates zijn nog niet beschikbaar.
Daarvoor waarschuwt beveiligingsbedrijf SEC Consult. In totaal vonden de onderzoekers van het bedrijf acht kwetsbaarheden. Zo is het mogelijk om zonder wachtwoord bestanden te uploaden en uit te voeren. Daarnaast is de webserversoftware van de Media Player kwetsbaar voor cross-site request forgery (csrf). Ook blijkt de private key in de firmware te zitten, draait de webserver met rootrechten en is het inloggen niet beschermd tegen bruteforce-aanvallen. Verder is de SQLite database kwetsbaar voor sql-injection.
Western Digital werd op 18 januari gewaarschuwd. Een paar dagen later liet het bedrijf weten dat het geen beveiligingsafdeling heeft waar dit soort zaken naar toe kunnen worden gestuurd. Uiteindelijk kwam SEC Consult wel in contact met iemand die over de security gaat, maar een update bleef uit. Wel vroeg Western Digital in februari om de bekendmaking van de kwetsbaarheden met 90 dagen uit te stellen. Het probleem is bevestigd in Media Player 1.03.07. Mogelijk zijn ook oudere versies kwetsbaar.
Uitgaande dat je dit ding niet rechtstreeks op internet heb zitten zonder ten minste een router er tussen.
Of dat hij bluetooth/wifi open heeft staan.
In theorie zou het mee moeten vallen mag ik aannemen?
Is er een lijst van de problemen waar het hier over gaat? - Is wel zo handig.
WD producten in de winkel laten liggen dan maar. Of achter een firewall stoppen. En dat wordt lastig wanneer de TV player ook gebruikt wordt voor streaming content?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.