一年半之后，西部数据 My Cloud NAS 设备验证绕过漏洞仍未修复

翻译：360代码卫士团队

一年半之前，研究人员告知西部数据称 My Cloud NAS 可导致攻击者绕过认证并以管理员权限控制设备，但如今问题仍未被修复。

该安全漏洞在本周二获得编号 CVE-2018-17153，由 Securify 公司的研究员 Remco Vermeulen 在2017年4月9日发现并在次日告知西部数据。他在固件版本已更新至 2.30.172 的西部数据 My Cloud 型号 WDBCTL0020HWT 上成功测试了该漏洞。然而，由于 My Cloud 产品都享有相同的代码，因此问题并不仅限于这个型号。

My Cloud 设备的验证进程会生成绑定至用户 IP 地址的服务器端会话。之后，经验证的 CGI 模块可通过在 HTTP 请求中发送 cookie ‘username = admin’ 的方式被调用。

Vermeulen 解释称，“未经认证的攻击者很有可能在无需要求认证的情况下创建一个有效的会话。Network_mgr.cgi CGI 模块包含名为 cgi_get_ipv6 的命令，它可启动和发出请求的用户的 IP 地址绑定的管理员会话，当参数标记为1时即可触发。”

如果黑客设置了 ‘username=admin’ cookie，那么就能够获得对设备的管理员级别的权限。

Vermeulen 已发布 PoC 代码，详述了控制 My Cloud NAS 的步骤。

第一步，攻击者必须设置一个和 IP 地址绑定的管理员会话。

1.   POST /cgi-bin/network_mgr.cgi HTTP/1.1

2.   Host: wdmycloud.local

3.   Content-Type: application/x-www-form-urlencoded

4.   Cookie: username=admin

5.   Content-Length: 23

6.    

7.   cmd=cgi_get_ipv6&flag=1

第二步，调用远程目标系统并通过 ‘username=admin’ cookie 进行认证。

Vermeulen 表示可通过恶意广告活动中的跨站脚本 (CSRF) 攻击攻陷 My Cloud NAS 系统，从而使攻击者攻击无法从互联网访问的设备。

Vermeulen 并未唯一一个找到该漏洞的研究员。去年，安全组织 Exploiteers 在 Def Con 安全会议上也披露了这一漏洞。

该组织指出他们联系了西部数据，但后者拒绝承认或修复。结果，Exploiteer 成员 Zenofex 构建了利用漏洞的 Metasploit 模块。

8月份，该组织制作了演示这两个漏洞的一个视频，其中一个是认证绕过漏洞 CVE-2018-17153。

截至目前，约有1870台西部数据 My Cloud NAS 系统联网，多数位于欧洲。不过这个数字一直在发生变动。

NAS 设备用于备份，因此很可能包含对用户有价值的数据。

至少有两名研究人员在一年多以前报告该漏洞，而且 PoC 代码也可自有获取、利用模块已准备好，因此黑客可能针对西部数据产品发动攻击，因为这些条件足以发动勒索软件攻击。

西部数据表示目前正在准备固件更新，解决 CVE-2018-17153，计划在几周内于技术支持网站上推出。该公司建议 NAS 设备所有人启动自动更新，不要将设备直接暴露在互联网上。

原文链接

https://www.bleepingcomputer.com/news/security/my-cloud-nas-devices-vulnerable-to-auth-bypass-for-over-a-year/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。