Pwn2Own大赛回顾：利用开源服务中的严重漏洞，攻陷西部数据My Cloud PR4100

 聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

西部数据发布 My Cloud OS 固件更新，修复了漏洞猎人在 2021年Pwn2Own黑客大赛中用于实现远程代码执行的漏洞 (CVE-2022-23121)。该漏洞当时由 NCC Group EDG团队成员利用攻陷西部数据My Cloud PR4100 设备且获得4万美元的奖励，它位于My Cloud OS 中包含的开源服务 “Netatalk Service”中。

该漏洞的CVSSv3 评分是9.8，可导致远程攻击者在无需认证的情况下，在目标设备（WD PR4100 NAS）上执行任意代码。ZDI 发布安全公告指出，“该漏洞位于 parse_entries 功能中，是因为在解析 AppleDouble 条目时缺少对错误处理造成的。攻击者可利用该漏洞在root上下文中执行代码。”

漏洞位于开源的 Netatalk 服务中

Netatalk 是一款免费开源的苹果文件协议 (AFP) 实现，可允许Unix 类操作系统作为 macOS 客户端的文件服务。

西部数据公司在2018年12月发布的某些NAS 设备使用的 Netatalk 服务版本是一个常见的半废弃开源项目，当时含有其它已知的可利用漏洞。更糟糕的是，西部数据 PR4100 默认具有公开的AFP分享，黑客无需任何认证即可获取。NCC Group EDG 团队当时使用该公开分享触及多个认证后句柄，加速并更轻松地破解了设备。

Pwn2Own 大赛结束后，Netatalk 开发团队发布版本 3.1.13 版本修复了这些漏洞。除了CVE-2022-23121 外，Netatalk 服务还修复了其它漏洞，其中某些漏洞也是CVSS 评分为9.8的RCE漏洞。

因此，建议使用Netatalk 开源工具的所有软件开发人员安装最新版本。

西部数据弃用 Netatalk

西部数据公司在固件更新版本 5.19.117 中将 Netatalk 完全从 My Cloud OS 中删除，因此建议 WD NAS 设备更新至该版本或后续版本。

如下设备均使用了可被利用的 Netatalk 服务，因此均易受攻击：

升级至最新固件版本后，虽然Netatalk 服务将不再可用，但仍可通过SMB继续访问网络共享。具体支持可见：https://support-en.wd.com/app/answers/detail/a_id/32003/

漏洞技术详情可见：https://research.nccgroup.com/2022/03/24/remote-code-execution-on-western-digital-pr4100-nas-cve-2022-23121/                      

原文链接

https://www.bleepingcomputer.com/news/security/western-digital-my-cloud-os-update-fixes-critical-vulnerability/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~