SanDisks SSD Dashboard bruger hardkodet adgangskode, mangler krypterede opdateringer

Flashopbevaring: Hvad du har brug for Med mere end et dusin formfaktorer kan det være afskrækkende at vælge det bedste flashhukommelseskort og SSD-teknologi til dine enheder. Karen Roby og James Sanders diskuterer de tilgængelige muligheder.

Enheds- og komponentleverandører er glade for at producere tilføjelsessoftware til enhedsstyring og konfiguration, skønt værdien af ​​disse værktøjer spænder fra minimalt nyttigt til aktivt skadeligt. SanDisk (og Western Digital, som ejeren af ​​dette mærke) har landet sig firkantet i den skadelige ende af dette spektrum, som et par sårbarheder, der blev opdaget i SanDisk SSD Dashboard af Martin Rakhmanov, sikkerhedsundersøgelseschef hos Trustwave SpiderLabs, understreger en underlig mangel på sikkerhedsforholdsregler.

SanDisks SSD Dashboard er nominelt beregnet til at kontrollere drevs sundhed og ydeevne, køre planlægning af TRIM-operationer og opdatere drev-firmware. Det inkluderer også en funktion til generering af rapporter, der skal sendes til SanDisks kundeserviceagenter til fejlfinding.

10 ting, som virksomheder holder i deres egne datacentre (gratis PDF)

Disse rapporter gemmes dog i krypterede ZIP-filer med den hardkodede adgangskode " emailbeskyttet ! Sk.1", som er funktionel ubrugelig.

SanDisk svar på sårbarheden, udpeget som CVE-2019-13466, var blot at fjerne krypteringen og kræve, at kunder manuelt deler rapporter med kundeservice.

Mere bekymrende er et potentielt menneske-i-midten-angreb (MitM) -angreb, udpeget som CVE-2019-13467, der kan udnyttes i SSD Dashboard-softwaren. Når du kontrollerer for tilgængelige opdateringer, henter programmet en XML-fil over en ikke-krypteret HTTP-forbindelse. Det ville være trivielt for angribere at ændre URL'en til downloadpakken i XML-filen, som automatisk downloades og installeres, hvis den version, der er angivet i filen, er større end versionen af ​​det aktuelt installerede Dashboard.

Brugere af Western Digital eller SanDisk SSD Dashboard skal manuelt downloade en programrettet version af softwaren.

Sagen mod leverandørspecifik hjælpesoftware

Det er klart, at Western Digital's forte er opbevaring, og selvom disse sårbarheder ikke bør afskrække købere fra at overveje WD eller SanDisk-produkter, bør spredningen af ​​proprietær leverandørsoftware til at styre hardwarefunktioner begrænses. Indrømmet, SSD-rådgiver er valgfri, skønt dårlig sikkerhedspraksis i sådanne programmer, og præstationshits fra hukommelsesboende programmer, der kører i baggrunden, opvejer stadig uden tvivl potentielle fordele, selv med strømmen fra moderne processorer og store mængder RAM, der findes i moderne computere.

Intet fundamentalt unikt kan findes i SanDisk SSD-rådgiver. Mens brugen af ​​SMART-drevdata stadig er et åbent spørgsmål, er SMART i sig selv en leverandør-agnostisk industristandard.

Ligeledes skal funktionerne leveret af SSD Advisor overlades til værtsoperativsystemet. Linux Vendor Firmware Service (LVFS) kan bruges til at levere firmwareopdateringer til Linux-brugere; ligeledes kunne Windows Update bruges til lignende ender til den valgfri opdatering af drev-firmware.

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com