西數MyCloud裝置存在認證繞過漏洞CVE-2018-17153
研究人員發現西數MyCloud network-attached storage(網路儲存器,NAS)裝置存在漏洞,攻擊者利用該漏洞可以繞過認證機制,並以管理員許可權控制裝置。該漏洞被發現已經有1年半時間,但至今仍未修復。
該漏洞的CVE編號為CVE-2018-17153,是安全研究人員Remco Vermeulen 2017年4月9日報告發現的,並於第二天報告給西數。
攻擊者利用該漏洞可以在無需提供密碼的情況下以管理使用者身份進行認證,並獲取My Cloud裝置的完全控制權。
研究人員在西數My Cloud WDBCTL0020HWT(韌體版本2.30.172)上進行了測試。該漏洞並不限於該型號,因為My Cloud產品會共享一些程式碼。
漏洞詳情
在進行管理認證時,會建立一個與使用者IP地址繫結的服務端session。Session建立後就可能在HTTP請求中傳送cookie username=admin來呼叫認證CGI模組。呼叫的CGI會檢查是否有有效的session,並檢查是否與使用者IP地址相繫結。
研究人員發現非認證的攻擊者可以在不需認證的情況下建立一個有效的session。network_mgr.cgi CGI模組含有一個名為cgi_get_ipv6的命令,cgi_get_ipv6會以與使用者IP地址關聯的admin session開始,呼叫引數flag=1的請求。如果攻擊者設定username=admin cookie,隨後需要管理員許可權的命令呼叫現在就是經過認證的了。
PoC
下面是利用該漏洞的步驟。
首先,建立一個與請求的IP地址相關的admin session:
POST /cgi-bin/network_mgr.cgi HTTP/1.1 Host: wdmycloud.local Content-Type: application/x-www-form-urlencoded Cookie: username=admin Content-Length: 23 cmd=cgi_get_ipv6&flag=1
然後,呼叫需要管理許可權和新增cookie username=admin來以admin認證的endpoint (e.g., cgi_get_ssh_pw_status)。
在訪問dashboard之前通過控制檯設定瀏覽器中的cookie會將使用者認證為administrator。
下面的PoC證明了濫用使用者瀏覽器來遠端入侵本地網路上的MyCloud裝置的攻擊:
Vermeulen稱被入侵的My Cloud NAS可以通過CSRF來完成,允許攻擊者來網際網路上不可達的目標裝置。
影響及修復
其實,Vermeulen並不是唯一一個發現該漏洞的安全研究人員。去年,Exploiteers在Def Con安全會議上就公佈了該漏洞。並稱聯絡了西數,但西數拒絕接收或修復該問題。然後,Exploiteer的Zenofex構建了一個利用該漏洞的Metasploit模組。
截止目前,大約有1870個西數My Cloud NAS系統聯網,主要位於歐洲。
而且NAS裝置可以用作備份,所以可能含有對使用者有價值的資料。
至少有兩個安全研究人員報告了該漏洞,並且截止目前時間超過一年,POC和漏洞利用模組都有了,攻擊者可以隨時利用這些來攻擊西數產品,比如進行勒索攻擊。
9月19日最新訊息,西數稱正在開發解決CVE-2018-17153漏洞的更新韌體,目前已經進入最後一階段。韌體更新後會釋出在 ofollow,noindex">https://support.wdc.com/ 的技術支援頁面,西數建議NAS裝置使用者開啟自動更新或者不要直接聯網。