西部数据 My Cloud 存储设备又被曝存在两个漏洞 本地攻击者可获取 root 权限
翻译:360代码卫士团队
上周四,研究人员在西部数据的 My Cloud 网络存储设备中发现了两个漏洞,可导致本地攻击者删除存储在设备中的文件或者导致本地攻击者以 root 权限执行 shell 命令。
Trustwave 公司的研究人员披露了这些漏洞。而不久之前安全公司 GulfTech 的研究人员也报告称从12款西部数据 My Cloud 设备机型中发现了多个严重漏洞,其中包括一个硬编码后门问题。
Trustwave 公司的研究人员发现的两个漏洞包括一个任意命令执行缺陷以及一个任意文件删除漏洞(经由特定参数)。受影响的西部数据机型为 My Cloud Gen 2、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100 和 My Cloud DL4100。
第一个漏洞(任意命令执行)和 My Cloud 固件中的一个通用网关界面脚本“nas_sharing.cgi”之间存在关联,能导致本地用户以 root 权限在受影响设备上执行 shell 命令。第二个漏洞(任意文件删除)也和上述脚本之间存在关联。
Trustwave 公司 SpiderLabs 的安全研究经理 Martin Rakhmanov 指出,“这些漏洞很可能并未暴露到互联网上而且可能仅可通过本地网络遭利用。”
他指出,“攻击者可能扫描网络并发现 My Cloud 设备窃听TCP/80。届时,攻击者将完全控制易受攻击的设备以及完全访问设备数据。由于这些设备用于集中存储并备份数据,因此可能这些数据并不受其所有人重视。”
Trustwave 公司和西部数据联合披露了这些漏洞问题。研究人员指出,这两个漏洞均已在发布于2017年11月16日的设备固件(版本 2.30.172)更新中予以修复。西部数据在2018年1月23日才证实了这些补丁。
Rakhmanov 表示,“虽然我们在不同时间段和西部数据取得联系,但他们通常并没有做出任何回应,而且回应时延时较长。当他们终于在11月份发布了补丁后也并未提醒我们。我们在这个月回看时才发现固件已发布。”
上个月,GulfTech 公司的研究人员披露了一个影响12款西部数据 My Cloud 网络存储设备的一个硬编码后门问题。GulfTech 公司表示,西部数据设备能导致通过用户名“mydlinkBRionyg”和密码“abc12345cba”以管理员身份访问远程后门。
同时,Trustwave 公司还表示找到了两个远程后门问题。
关联阅读
西部数据 “My Cloud” 存储设备中被曝存在 0day 漏洞
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://threatpost.com/new-western-digital-my-cloud-bugs-give-local-attackers-root-to-nas-devices/129766/