西部数据My Cloud存储设备被曝可提权认证绕过漏洞

近期,网络设备漏洞研究团队exploitee.rs公布,西部数据 My Cloud 网络存储设备存在一个认证绕过漏洞( CVE-2018-17153),未授权的远程或本地网络攻击者可以利用该漏洞,无需密码就能提权成为admin管理员身份,获取对 My Cloud设备的完全控制权。

漏洞介绍

该漏洞能可使得未授权用户能创建与其IP地址相关联的管理员会话,然后进一步利用,可以实现管理员特权命令执行,获取对My Cloud 存储设备的控制。该漏洞是研究者通过逆向CGI二进制文件时发现的。

当My Cloud设备管理员授权认证登录后,会产生一个与其IP地址关联的相应的服务端( server-side)会话,然后该会话会在HTTP请求中以发送username=admin的cookie形式去调用验证性CGI模块,接着,被调用的验证性CGI模块需要对当前与用户IP关联的会话有效性进行检查校验。

未授权的攻击者可以创建一个不需验证的有效会话,被调用的network_mgr.cgi CGI模块中包含了一个名为 cgi_get_ipv6 的命令,当CGI模块被调用时,其参数标志为1时,该命令会启动一个与用户IP绑定关联的管理员会话。通常来说,一些后续命令的调用执行需要管理员权限,但如果攻击者把cookie中的username设置为admin,也就是username=admin之后,则该会话就相当于管理员权限,间接绕过了验证授权限制。

存在漏洞的My Cloud版本

exploitee研究人员分析,该漏洞目前可以成功在固件版本为2.30.172,型号为WDBCTL0020HWT的 My Cloud 存储设备上复现,主要影响固件版本为2.30.xxx的设备,由于 My Cloud 的多个系列设备开发代码都大同小异,因此,其它型号的设备也非常可能存在该漏洞。可能存在漏洞的型号和对应固件版本设备为:

My Cloud FW 2.30.196 My Cloud Mirror Gen2 FW 2.30.196 My Cloud EX2 Ultra FW 2.30.196 My Cloud EX2100 FW 2.30.196 My Cloud EX4100 FW 2.30.196 My Cloud DL2100 FW 2.30.196 My Cloud DL4100 FW 2.30.196 My Cloud PR2100 FW 2.30.196 My Cloud PR4100 FW 2.30.196

漏洞利用POC

首先,攻击者需要在POST请求中把自己的IP地址和会话关联;

之后,设置username=admin和cmd=cgi_get_ipv6&flag=1:

接下来,请求需要管理员权限的My Cloud服务端,如cgi_get_ssh_pw_status;把以上cookie信息设置在浏览器中,执行服务端请求之后,可以发现已经具备管理员权限。如下图所示:

最新的Metasploit漏洞利用模块 - https://pastecry.pt/dUHB3e#PewMuk%3AUt2Ek3Bee4Rej2Syz5Mek

有安全研究者向记者透露,还可以通过恶意广告形式(malvertising campaigns),用跨站漏洞技巧去入侵My Cloud 的NAS网络存储设备,这种方式还能入侵那些不联网的My Cloud设备。

该漏洞被发现的前后

据悉,该漏洞问题其实早在2017年4月9日就被安全团队exploitee.rs在去年Def Con上的设备漏洞集锦《All Your Things Are Belong To Us!》中披露过,但当exploitee向西部数据反馈后,西部数据却拒绝承认和修复该漏洞,因此,毫无办法的exploitee团队只好在今年8月编写出了漏洞利用的Metasploit模块,并以对外公布了该漏洞。

2017.4.9 exploitee团队发现漏洞 2017.4.10 exploitee团队向西部数据上报该漏洞 ……没有下文…. 2018.9.17 exploitee团队向CVE请求公布漏洞 2018.9.18 CVE官方给定漏洞编号CVE-2018-17153 2018.9.18 exploitee团队公布漏洞细节

而据了解,该漏洞在去年也被Securify公司研究员Remco Vermeulen上报过,但西部数据最终也并未成功修复。

后续

截至发稿前,记者发现,目前有1,870个曝露互联网的西部数据My Cloud设备,其中大多数处于欧洲,而且这个数据还在不断增加。

2018.9.18 16:31 西部数据在Twitter声称已经在着手制作针对CVE-2018-17153的固件更新 2018.9.18 西部数据针对CVE-2018-17153释出了补丁更新

*参考来源:securify / bleepingcomputer,clouds编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-10-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

如何使用Airgeddon搭建基于软件的WIFI干扰器

Airgeddon是一款能够进行Wi-Fi干扰的多Bash网络审计工具,它可以允许你在未加入目标网络的情况下设置目标,并且断开目标网络中的所有设备。Airged...

35010
来自专栏FreeBuf

来自后方世界的隐匿威胁:后门与持久代理(一)

干了十几年安全工作,发现一些同行只是把简单的工具扫描和渗透测试当成了全部工作,拿到需要的数据及测试结果既为完成工作。可各位兄弟,咱扪心自问,这样的安全测试能叫真...

2675
来自专栏黑白安全

metasploit渗透终极防御终极方法总结

睡不着就无聊玩玩metasploit攻击,哎让我大失所所望.整来整去是一个垃圾东东.可能对win还用点没有那么多安全防御手段.可是对于linux.bsd简直就是...

1273
来自专栏安智客

Google Keybox功能与TEE关系介绍

昨天介绍了Keystore功能,今天来普及一下Keybox。这个也与可信执行环境TEE有着密切的关系! Keybox就是Android的密钥箱功能,用于解密受D...

98210
来自专栏逍遥剑客的游戏开发

UE4中集成Wiimote

28911
来自专栏web

vue项目在移动端(手机)调试

1392
来自专栏生信技能树

计算资源及编程-仅针对生信人员

理论上在个人Windows电脑上面做生物信息学数据分析是不实际的,因为太多的生物信息学相关软件的开发者对windows并不熟练,没办法提供完善的基于window...

1603
来自专栏程序员阿凯

GitHub 可以被收购,Git 命令你不能不会

1654
来自专栏农夫安全

【学习规划路线】如何成为一名web安全工程师

时间:1周 环境的搭建 熟悉基本的虚拟机配置, Kali linux,centos,Windows实验虚拟机 自己搭建IIS和apache 部署php或者asp...

4166
来自专栏数据和云

无微不至:调整_lm_cache_res_cleanup解决Shared Pool 的4031问题

李真旭(Roger) 云和恩墨西北区技术总监 Oracle ACE, ACOUG 核心会员 前不久某客户的一套核心数据库(10.2.0.4.12),据说每间隔...

3317

扫码关注云+社区

领取腾讯云代金券