安全研究人员在西部数据公司(Western Digital)的My Cloud NAS设备中发现了几个严重的漏洞和一个采用硬编码的后门程序,这些漏洞可能允许远程攻击者无限制地访问设备。
西部数据的My Cloud(WD My Cloud)系列NAS设备是最受欢迎的网络连接存储设备之一,个人和企业正在使用它来托管他们的文件,并自动备份和同步他们的各种云和基于Web的服务。
该设备不仅可以让用户共享家庭网络中的文件,而且私有云功能还允许用户随时随地访问他们的数据。
由于这些设备被设计为通过互联网连接,所以硬编码后门将使用户数据对黑客开放。
GulfTech研究和开发团队最近发布了一份建议,详细介绍了WD My Cloud存储设备中的硬编码后门和一些漏洞,这些漏洞可能允许远程攻击者注入他们自己的命令,并未经许可的情况下上传和下载敏感文件。
值得注意的是,来自GulfTech公司的研究人员James Bercegay在去年6月就已经联系了这家供应商并报告了这些问题。供应商也确认了这些漏洞,并表示会在90天内完成修复。
但直到今年1月3日(即将近180天),直到GulfTech公开披露了漏洞的细节时,这些漏洞依然没有得到修复。
无限制的文件上传漏洞
顾名思义,这个漏洞允许远程攻击者上传一个任意文件到使用易受攻击的存储设备的联网服务器上。
由于西部数据错误地实现了gethostbyaddr()PHP函数,该漏洞驻留“multi_uploadify.php”脚本中。
这个漏洞也能够被很容易地被利用来以root身份获得远程shell。为此,攻击者所要做的就是发送一个包含要上传的文件的请求,使用参数Filedata [0](在“folder”参数中指定要上载的文件的位置以及假冒的主机标题名)。
研究人员还编写了一个Metasploit模块来利用这个漏洞。
“[metasploit]模块将使用此漏洞将PHP webshell上传到‘/var /www /’目录。一旦上传,webshell可以通过请求一个指向后门的URI来执行,从而触发负载。”研究人员写道。
硬编码后门
研究人员还发现存在一个典型的后门——管理员用户名“mydlinkBRionyg”和密码“abc12345cba”,它被硬编码到二进制文件中,无法更改。
因此,任何人都可以使用这些凭证登录到WD My Cloud设备。另外,使用这个后门访问,任何人都可以访问易受命令注入攻击的漏洞,并产生一个root shell。
研究人员指出:“攻击者可以访问一个网站,通过嵌入的iframe或img标签向易受攻击的设备请求WD My Cloud的默认主机名之一,比如‘wdmycloud’和‘wdmycloudmirror’,从而直接劫持用户的设备。”
其他一些漏洞
除了上面提到的这两个关键性漏洞之外,在GulfTech公司发布的建议中,研究人员还介绍了另外其他几个严重漏洞:
跨站请求伪造
由于WD My Cloud的Web界面中并没有真正的XSRF保护,攻击者完全可以通过诱使受害者点击其设置的恶意网络,进而通过受害者的网页浏览器连接到其联网的My Cloud设备,并对其发动攻击。
换句话来说,只需要一个诱饵网站,就足以让你失去对My Cloud设备的控制权。
命令注入
去年3月份,Exploitee.rs团队的一名成员在WD My Cloud设备中发现了多个命令注入问题,这些问题可能与XSRF漏洞相结合,从而获得受影响设备的完全控制权(root访问权限)。
更不幸的是,GulfTech公司的研究人员在此基础上也发现了几个命令注入漏洞。
拒绝服务
研究人员还发现,由于任何未经身份验证的用户都可以为整个存储设备及其所有用户设置全局语言首选项,因此攻击者可能会滥用此功能,从而导致Web界面出现DoS状况。
信息泄露
根据研究人员的说法,攻击者可以通过简单地向Web服务器发送一个简单的请求(如“GET /api/2.1/rest/users? HTTP/1.1”)来转储所有用户的列表,包括详细的用户信息,而不需要任何身份验证。
受影响的云端固件版本和型号
Western Digital的My Cloud和My Cloud Mirror固件版本2.30.165及更早版本受到上述所有漏洞的影响。
受影响的设备型号包括My Cloud Gen 2、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100和My Cloud DL4100。
另外,所有漏洞的Metasploit模块已经在线发布。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。