Ernstige lekken in Western Digital TV Media Player ongepatcht
In de TV Media Player van harde schijffabrikant Western Digital bevinden zich meerdere ernstige beveiligingslekken waardoor een aanvaller het apparaat volledig kan overnemen en daarvandaan zelfs het achterliggende netwerk kan compromitteren en updates zijn nog niet beschikbaar.
Daarvoor waarschuwt beveiligingsbedrijf SEC Consult. In totaal vonden de onderzoekers van het bedrijf acht kwetsbaarheden. Zo is het mogelijk om zonder wachtwoord bestanden te uploaden en uit te voeren. Daarnaast is de webserversoftware van de Media Player kwetsbaar voor cross-site request forgery (csrf). Ook blijkt de private key in de firmware te zitten, draait de webserver met rootrechten en is het inloggen niet beschermd tegen bruteforce-aanvallen. Verder is de SQLite database kwetsbaar voor sql-injection.
Western Digital werd op 18 januari gewaarschuwd. Een paar dagen later liet het bedrijf weten dat het geen beveiligingsafdeling heeft waar dit soort zaken naar toe kunnen worden gestuurd. Uiteindelijk kwam SEC Consult wel in contact met iemand die over de security gaat, maar een update bleef uit. Wel vroeg Western Digital in februari om de bekendmaking van de kwetsbaarheden met 90 dagen uit te stellen. Het probleem is bevestigd in Media Player 1.03.07. Mogelijk zijn ook oudere versies kwetsbaar.
Uitgaande dat je dit ding niet rechtstreeks op internet heb zitten zonder ten minste een router er tussen.
Of dat hij bluetooth/wifi open heeft staan.
In theorie zou het mee moeten vallen mag ik aannemen?
Is er een lijst van de problemen waar het hier over gaat? - Is wel zo handig.
WD producten in de winkel laten liggen dan maar. Of achter een firewall stoppen. En dat wordt lastig wanneer de TV player ook gebruikt wordt voor streaming content?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
