首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >西部数据My Cloud存储设备被曝可提权认证绕过漏洞

西部数据My Cloud存储设备被曝可提权认证绕过漏洞

作者头像
FB客服
发布2018-10-25 11:16:57
5980
发布2018-10-25 11:16:57
举报
文章被收录于专栏:FreeBufFreeBuf

近期,网络设备漏洞研究团队exploitee.rs公布,西部数据 My Cloud 网络存储设备存在一个认证绕过漏洞( CVE-2018-17153),未授权的远程或本地网络攻击者可以利用该漏洞,无需密码就能提权成为admin管理员身份,获取对 My Cloud设备的完全控制权。

漏洞介绍

该漏洞能可使得未授权用户能创建与其IP地址相关联的管理员会话,然后进一步利用,可以实现管理员特权命令执行,获取对My Cloud 存储设备的控制。该漏洞是研究者通过逆向CGI二进制文件时发现的。

当My Cloud设备管理员授权认证登录后,会产生一个与其IP地址关联的相应的服务端( server-side)会话,然后该会话会在HTTP请求中以发送username=admin的cookie形式去调用验证性CGI模块,接着,被调用的验证性CGI模块需要对当前与用户IP关联的会话有效性进行检查校验。

未授权的攻击者可以创建一个不需验证的有效会话,被调用的network_mgr.cgi CGI模块中包含了一个名为 cgi_get_ipv6 的命令,当CGI模块被调用时,其参数标志为1时,该命令会启动一个与用户IP绑定关联的管理员会话。通常来说,一些后续命令的调用执行需要管理员权限,但如果攻击者把cookie中的username设置为admin,也就是username=admin之后,则该会话就相当于管理员权限,间接绕过了验证授权限制。

存在漏洞的My Cloud版本

exploitee研究人员分析,该漏洞目前可以成功在固件版本为2.30.172,型号为WDBCTL0020HWT的 My Cloud 存储设备上复现,主要影响固件版本为2.30.xxx的设备,由于 My Cloud 的多个系列设备开发代码都大同小异,因此,其它型号的设备也非常可能存在该漏洞。可能存在漏洞的型号和对应固件版本设备为:

My Cloud FW 2.30.196 My Cloud Mirror Gen2 FW 2.30.196 My Cloud EX2 Ultra FW 2.30.196 My Cloud EX2100 FW 2.30.196 My Cloud EX4100 FW 2.30.196 My Cloud DL2100 FW 2.30.196 My Cloud DL4100 FW 2.30.196 My Cloud PR2100 FW 2.30.196 My Cloud PR4100 FW 2.30.196

漏洞利用POC

首先,攻击者需要在POST请求中把自己的IP地址和会话关联;

之后,设置username=admin和cmd=cgi_get_ipv6&flag=1:

接下来,请求需要管理员权限的My Cloud服务端,如cgi_get_ssh_pw_status;把以上cookie信息设置在浏览器中,执行服务端请求之后,可以发现已经具备管理员权限。如下图所示:

最新的Metasploit漏洞利用模块 - https://pastecry.pt/dUHB3e#PewMuk%3AUt2Ek3Bee4Rej2Syz5Mek

有安全研究者向记者透露,还可以通过恶意广告形式(malvertising campaigns),用跨站漏洞技巧去入侵My Cloud 的NAS网络存储设备,这种方式还能入侵那些不联网的My Cloud设备。

该漏洞被发现的前后

据悉,该漏洞问题其实早在2017年4月9日就被安全团队exploitee.rs在去年Def Con上的设备漏洞集锦《All Your Things Are Belong To Us!》中披露过,但当exploitee向西部数据反馈后,西部数据却拒绝承认和修复该漏洞,因此,毫无办法的exploitee团队只好在今年8月编写出了漏洞利用的Metasploit模块,并以对外公布了该漏洞。

2017.4.9 exploitee团队发现漏洞 2017.4.10 exploitee团队向西部数据上报该漏洞 ……没有下文…. 2018.9.17 exploitee团队向CVE请求公布漏洞 2018.9.18 CVE官方给定漏洞编号CVE-2018-17153 2018.9.18 exploitee团队公布漏洞细节

而据了解,该漏洞在去年也被Securify公司研究员Remco Vermeulen上报过,但西部数据最终也并未成功修复。

后续

截至发稿前,记者发现,目前有1,870个曝露互联网的西部数据My Cloud设备,其中大多数处于欧洲,而且这个数据还在不断增加。

2018.9.18 16:31 西部数据在Twitter声称已经在着手制作针对CVE-2018-17153的固件更新 2018.9.18 西部数据针对CVE-2018-17153释出了补丁更新

*参考来源:securify / bleepingcomputer,clouds编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-10-11,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 漏洞介绍
  • 存在漏洞的My Cloud版本
  • 漏洞利用POC
  • 该漏洞被发现的前后
  • 后续
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档