西部数据My Cloud存储设备被曝可提权认证绕过漏洞

近期,网络设备漏洞研究团队exploitee.rs公布,西部数据 My Cloud 网络存储设备存在一个认证绕过漏洞( CVE-2018-17153),未授权的远程或本地网络攻击者可以利用该漏洞,无需密码就能提权成为admin管理员身份,获取对 My Cloud设备的完全控制权。

漏洞介绍

该漏洞能可使得未授权用户能创建与其IP地址相关联的管理员会话,然后进一步利用,可以实现管理员特权命令执行,获取对My Cloud 存储设备的控制。该漏洞是研究者通过逆向CGI二进制文件时发现的。

当My Cloud设备管理员授权认证登录后,会产生一个与其IP地址关联的相应的服务端( server-side)会话,然后该会话会在HTTP请求中以发送username=admin的cookie形式去调用验证性CGI模块,接着,被调用的验证性CGI模块需要对当前与用户IP关联的会话有效性进行检查校验。

未授权的攻击者可以创建一个不需验证的有效会话,被调用的network_mgr.cgi CGI模块中包含了一个名为 cgi_get_ipv6 的命令,当CGI模块被调用时,其参数标志为1时,该命令会启动一个与用户IP绑定关联的管理员会话。通常来说,一些后续命令的调用执行需要管理员权限,但如果攻击者把cookie中的username设置为admin,也就是username=admin之后,则该会话就相当于管理员权限,间接绕过了验证授权限制。

存在漏洞的My Cloud版本

exploitee研究人员分析,该漏洞目前可以成功在固件版本为2.30.172,型号为WDBCTL0020HWT的 My Cloud 存储设备上复现,主要影响固件版本为2.30.xxx的设备,由于 My Cloud 的多个系列设备开发代码都大同小异,因此,其它型号的设备也非常可能存在该漏洞。可能存在漏洞的型号和对应固件版本设备为:

My Cloud FW 2.30.196 My Cloud Mirror Gen2 FW 2.30.196 My Cloud EX2 Ultra FW 2.30.196 My Cloud EX2100 FW 2.30.196 My Cloud EX4100 FW 2.30.196 My Cloud DL2100 FW 2.30.196 My Cloud DL4100 FW 2.30.196 My Cloud PR2100 FW 2.30.196 My Cloud PR4100 FW 2.30.196

漏洞利用POC

首先,攻击者需要在POST请求中把自己的IP地址和会话关联;

之后,设置username=admin和cmd=cgi_get_ipv6&flag=1:

接下来,请求需要管理员权限的My Cloud服务端,如cgi_get_ssh_pw_status;把以上cookie信息设置在浏览器中,执行服务端请求之后,可以发现已经具备管理员权限。如下图所示:

最新的Metasploit漏洞利用模块 - https://pastecry.pt/dUHB3e#PewMuk%3AUt2Ek3Bee4Rej2Syz5Mek

有安全研究者向记者透露,还可以通过恶意广告形式(malvertising campaigns),用跨站漏洞技巧去入侵My Cloud 的NAS网络存储设备,这种方式还能入侵那些不联网的My Cloud设备。

该漏洞被发现的前后

据悉,该漏洞问题其实早在2017年4月9日就被安全团队exploitee.rs在去年Def Con上的设备漏洞集锦《All Your Things Are Belong To Us!》中披露过,但当exploitee向西部数据反馈后,西部数据却拒绝承认和修复该漏洞,因此,毫无办法的exploitee团队只好在今年8月编写出了漏洞利用的Metasploit模块,并以对外公布了该漏洞。

2017.4.9 exploitee团队发现漏洞 2017.4.10 exploitee团队向西部数据上报该漏洞 ……没有下文…. 2018.9.17 exploitee团队向CVE请求公布漏洞 2018.9.18 CVE官方给定漏洞编号CVE-2018-17153 2018.9.18 exploitee团队公布漏洞细节

而据了解,该漏洞在去年也被Securify公司研究员Remco Vermeulen上报过,但西部数据最终也并未成功修复。

后续

截至发稿前,记者发现,目前有1,870个曝露互联网的西部数据My Cloud设备,其中大多数处于欧洲,而且这个数据还在不断增加。

2018.9.18 16:31 西部数据在Twitter声称已经在着手制作针对CVE-2018-17153的固件更新 2018.9.18 西部数据针对CVE-2018-17153释出了补丁更新

*参考来源:securify / bleepingcomputer,clouds编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-10-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安智客

Google Keybox功能与TEE关系介绍

昨天介绍了Keystore功能,今天来普及一下Keybox。这个也与可信执行环境TEE有着密切的关系! Keybox就是Android的密钥箱功能,用于解密受D...

80210
来自专栏信安之路

细节决定成败-WIFI新玩法

最近网络非常的不好看看网页都会卡,哇是真的生气。没有网络的我和咸鱼有什么区别。然后我就想用一下邻居的 WiFi,结果。。跑包钓鱼都没有出来。

1180
来自专栏生信技能树

计算资源及编程-仅针对生信人员

理论上在个人Windows电脑上面做生物信息学数据分析是不实际的,因为太多的生物信息学相关软件的开发者对windows并不熟练,没办法提供完善的基于window...

1423
来自专栏FreeBuf

来自后方世界的隐匿威胁:后门与持久代理(一)

干了十几年安全工作,发现一些同行只是把简单的工具扫描和渗透测试当成了全部工作,拿到需要的数据及测试结果既为完成工作。可各位兄弟,咱扪心自问,这样的安全测试能叫真...

2565
来自专栏FreeBuf

14亿邮箱泄露密码明文信息查询网站惊现网络

经查询统计,该14亿邮箱密码库涉及Gamil、Hotmail、Yahoo、Sina、qq、163、Sohu、Live、Aol等知名电邮厂商注册用户,另外,还涉及...

2170
来自专栏web

vue项目在移动端(手机)调试

1242
来自专栏数据和云

【Windows最近肿么了】32TB的Win10源码遭泄露?

黑客泄露微软 Win 10 大量源代码,数据超过 32 TB 据 TheRegister 报道,已经有多达 32TB 的微软 Windows 操作系统的内部核心...

3168
来自专栏chafezhou

小说python操作PLC

PLC(Programmable Logic Controller)可编程逻辑控制器,可以理解为一个微型计算机,广泛应用于工业控制中,如楼宇智控、精密机床、汽车...

1.2K2
来自专栏黑白安全

metasploit渗透终极防御终极方法总结

睡不着就无聊玩玩metasploit攻击,哎让我大失所所望.整来整去是一个垃圾东东.可能对win还用点没有那么多安全防御手段.可是对于linux.bsd简直就是...

1153
来自专栏葡萄城控件技术团队

月下载量千万的 npm 包被黑客篡改,Vue 开发者可能正在遭受攻击

早起看手机,结果发现我的微信群炸了,未读消息 999+,大家都在讨论 event-stream 事件。打开 twitter 也是被这个刷屏了。

1132

扫码关注云+社区