西部数据My Cloud网络附加存储(NAS)中的漏洞允许攻击者绕过身份验证并使用管理员权限控制设备,但在最初报告发生后,负责人仍然未修补漏洞,已经差不多一年半的时间过去了。
安全研究员Remco Vermeulen于2017年4月9日在Securify发现了安全漏洞,该漏洞在周二收到了识别号CVE-2018-17153,并于次日向Western Digital报告。
研究人员测试了西部数据My Cloud型号WDBCTL0020HWT更新至固件版本2.30.172的缺陷。但问题不仅限于此模型,因为My Cloud产品共享相同的代码。
对My Cloud设备的身份验证过程会生成绑定到用户IP地址的服务器端会话。完成此步骤后,可以通过在HTTP请求中发送cookie“username = admin”来调用经过身份验证的CGI模块。
“发现未经身份验证的攻击者可能无需进行身份验证即可创建有效会话。network_mgr.cgi CGI模块包含一个名为cgi_get_ipv6的命令,该命令启动一个管理会话,该管理会话与用户的IP地址相关联当参数标志等于1时调用请求,“Vermeulen 解释说。
如果攻击者设置'username = admin'cookie,他们将获得对该设备的管理员级访问权限。
研究人员发布了概念验证代码,并详细说明了控制My Cloud NAS的步骤。
攻击者首先要设置绑定到其IP地址的管理会话。
POST /cgi-bin/network_mgr.cgi HTTP/1.1
Host: wdmycloud.local
Content-Type: application/x-www-form-urlencoded
Cookie: username=admin
Content-Length: 23
cmd=cgi_get_ipv6&flag=1
下一步是调用远程目标系统并使用'username = admin'cookie进行身份验证。
Vermeulen告诉BleepingComputer,可以通过恶意广告活动中的跨站点脚本(CSRF)攻击来破坏My Cloud NAS系统,允许攻击者定位无法通过互联网访问的设备。
Vermeulen并不是唯一发现此漏洞的人。去年,安全组织Exploiteers在Def Con安全会议上披露了这一消息。
该组织表示,他们曾与Western Digital联系,但该公司拒绝承认或解决该问题。因此,Exploiteer成员Zenofex构建了一个利用漏洞的Metasploit模块 。
8月,该小组制作了一个视频,演示了两个漏洞,其中一个是身份验证绕过CVE-2018-17153:
在撰写本文时,大约有1,870个西部数据My Cloud NAS系统在线连接,其中大多数在欧洲。不过,这个数字还在不断增长。
NAS设备用于备份目的,因此它们很可能包含对用户有价值的数据。
至少有两位研究人员报告了漏洞一年多前,验证的概念代码免费提供,并在准备一个开发模块,黑客很可能把重点放在西部数据的产品,因为他们似乎已经成熟勒索软件攻击。
领取专属 10元无门槛券
私享最新 技术干货