SanDisks SSD Dashboard bruker hardkodet passord, mangler krypterte oppdateringer

Flash-lagring: Hva du trenger å vite Med over et dusin formfaktorer kan det være skremmende å velge det beste flash-minnekortet og SSD-teknologien for enhetene dine. Karen Roby og James Sanders diskuterer de tilgjengelige alternativene.

Enhets- og komponentleverandører er glad i å produsere tilleggsprogramvare for enhetsadministrasjon og -konfigurasjon, selv om verdien av disse verktøyene spenner fra minimalt nyttig til aktivt skadelig. SanDisk (og Western Digital, som eieren av det merket) har landet seg på en firkant i den skadelige enden av det spekteret, som et par sårbarheter som ble oppdaget i SanDisk SSD Dashboard av Martin Rakhmanov, sikkerhetsforskningssjef ved Trustwave SpiderLabs, understreker en underordnet mangel på sikkerhetstiltak.

SanDisks SSD Dashboard er nominelt ment for å sjekke stasjonshelse og -ytelse, kjøre planlegging av TRIM-operasjoner og oppdatere stasjons firmware. Den inkluderer også en funksjon for å generere rapporter som skal sendes til SanDisks kundeserviceagenter for feilsøking.

10 ting selskaper holder i sine egne datasentre (gratis PDF)

Disse rapportene lagres imidlertid i krypterte ZIP-filer med det hardkodede passordet " postbeskyttet ! Sk.1", som er ubrukelig.

SanDisks svar på sårbarheten, utpekt som CVE-2019-13466, var å bare fjerne krypteringen, og kreve at kunder manuelt deler rapporter med kundeservice.

Mer urovekkende er et potensielt mann-i-midten-angrep (MitM) -angrep, utpekt som CVE-2019-13467, som kan utnyttes i SSD Dashboard-programvaren. Når du ser etter tilgjengelige oppdateringer, laster ned programmet en XML-fil over en ukryptert HTTP-forbindelse. Det ville være trivielt for angripere å endre URL-en til nedlastingspakken i XML-filen, som automatisk lastes ned og installeres hvis versjonen som er spesifisert i filen er større enn versjonen av det for øyeblikket installerte dashbordet.

Brukere av Western Digital eller SanDisk SSD Dashboard bør laste ned en oppdatert versjon av programvaren manuelt.

Saken mot leverandørspesifikk hjelperprogramvare

Det er tydelig at Western Digital's forte er lagring, og selv om disse sårbarhetene ikke bør hindre kjøpere fra å vurdere WD- eller SanDisk-produkter, bør spredningen av proprietær leverandørprogramvare for å administrere maskinvarefunksjoner begrenses. Gitt, SSD-rådgiver er valgfritt, selv om dårlig sikkerhetspraksis i slike programmer, og ytelsestreff fra minneinnboende programmer som kjører i bakgrunnen, oppveier fremdeles uten tvil potensielle fordeler, selv med kraften som leveres av moderne prosessorer og enorme mengder RAM som finnes i moderne datamaskiner.

Ingenting fundamentalt unikt finner du i SanDisk SSD-rådgiver. Selv om bruken av SMART-stasjonsdata fremdeles er et åpent spørsmål, er SMART i seg selv en leverandør-agnostisk industristandard.

På samme måte bør funksjonene som leveres av SSD Advisor overlates til vertsoperativsystemet. Linux Vendor Firmware Service (LVFS) kan brukes til å levere firmwareoppdateringer for Linux-brukere; På samme måte kan Windows Update brukes til lignende ender for valgfri oppdatering av stasjons firmware.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com