西数MyCloud设备存在认证绕过漏洞CVE-2018-17153

ang010ela 漏洞 2018年9月23日发布

导语:研究人员发现西数MyCloud network-attached storage(网络存储器,NAS)设备存在漏洞,攻击者利用该漏洞可以绕过认证机制,并以管理员权限控制设备。该漏洞被发现已经有1年半时间,但至今仍未修复。

研究人员发现西数MyCloud network-attached storage(网络存储器,NAS)设备存在漏洞,攻击者利用该漏洞可以绕过认证机制,并以管理员权限控制设备。该漏洞被发现已经有1年半时间,但至今仍未修复。

该漏洞的CVE编号为CVE-2018-17153,是安全研究人员Remco Vermeulen 2017年4月9日报告发现的,并于第二天报告给西数。

攻击者利用该漏洞可以在无需提供密码的情况下以管理用户身份进行认证,并获取My Cloud设备的完全控制权。

研究人员在西数My Cloud WDBCTL0020HWT(固件版本2.30.172)上进行了测试。该漏洞并不限于该型号,因为My Cloud产品会共享一些代码。

漏洞详情

在进行管理认证时,会创建一个与用户IP地址绑定的服务端session。Session创建后就可能在HTTP请求中发送cookie username=admin来调用认证CGI模块。调用的CGI会检查是否有有效的session,并检查是否与用户IP地址相绑定。

研究人员发现非认证的攻击者可以在不需认证的情况下创建一个有效的session。network_mgr.cgi CGI模块含有一个名为cgi_get_ipv6的命令,cgi_get_ipv6会以与用户IP地址关联的admin session开始,调用参数flag=1的请求。如果攻击者设置username=admin cookie,随后需要管理员权限的命令调用现在就是经过认证的了。

PoC

下面是利用该漏洞的步骤。

首先,建立一个与请求的IP地址相关的admin session:

POST /cgi-bin/network_mgr.cgi HTTP/1.1
Host: wdmycloud.local
Content-Type: application/x-www-form-urlencoded
Cookie: username=admin
Content-Length: 23
 
cmd=cgi_get_ipv6&flag=1

然后,调用需要管理权限和添加cookie username=admin来以admin认证的endpoint (e.g., cgi_get_ssh_pw_status)。

在访问dashboard之前通过控制台设置浏览器中的cookie会将用户认证为administrator。

下面的PoC证明了滥用用户浏览器来远程入侵本地网络上的MyCloud设备的攻击:

 /advisory/SFY20180102/poc.gif

Vermeulen称被入侵的My Cloud NAS可以通过CSRF来完成,允许攻击者来互联网上不可达的目标设备。

影响及修复

其实,Vermeulen并不是唯一一个发现该漏洞的安全研究人员。去年,Exploiteers在Def Con安全会议上就公布了该漏洞。并称联系了西数,但西数拒绝接收或修复该问题。然后,Exploiteer的Zenofex构建了一个利用该漏洞的Metasploit模块。

截止目前,大约有1870个西数My Cloud NAS系统联网,主要位于欧洲。

而且NAS设备可以用作备份,所以可能含有对用户有价值的数据。

至少有两个安全研究人员报告了该漏洞,并且截止目前时间超过一年,POC和漏洞利用模块都有了,攻击者可以随时利用这些来攻击西数产品,比如进行勒索攻击。

9月19日最新消息,西数称正在开发解决CVE-2018-17153漏洞的更新固件,目前已经进入最后一阶段。固件更新后会发布在https://support.wdc.com/的技术支持页面,西数建议NAS设备用户开启自动更新或者不要直接联网。

本文翻译自:https://www.bleepingcomputer.com/news/security/my-cloud-nas-devices-vulnerable-to-auth-bypass-for-over-a-year/ https://www.securify.nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html如若转载,请注明原文地址: http://www.4hou.com/vulnerable/13736.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论