聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
该漏洞的CVSSv3 评分是9.8,可导致远程攻击者在无需认证的情况下,在目标设备(WD PR4100 NAS)上执行任意代码。ZDI 发布安全公告指出,“该漏洞位于 parse_entries 功能中,是因为在解析 AppleDouble 条目时缺少对错误处理造成的。攻击者可利用该漏洞在root上下文中执行代码。”
Netatalk 是一款免费开源的苹果文件协议 (AFP) 实现,可允许Unix 类操作系统作为 macOS 客户端的文件服务。
西部数据公司在2018年12月发布的某些NAS 设备使用的 Netatalk 服务版本是一个常见的半废弃开源项目,当时含有其它已知的可利用漏洞。更糟糕的是,西部数据 PR4100 默认具有公开的AFP分享,黑客无需任何认证即可获取。NCC Group EDG 团队当时使用该公开分享触及多个认证后句柄,加速并更轻松地破解了设备。
Pwn2Own 大赛结束后,Netatalk 开发团队发布版本 3.1.13 版本修复了这些漏洞。除了CVE-2022-23121 外,Netatalk 服务还修复了其它漏洞,其中某些漏洞也是CVSS 评分为9.8的RCE漏洞。
因此,建议使用Netatalk 开源工具的所有软件开发人员安装最新版本。
西部数据公司在固件更新版本 5.19.117 中将 Netatalk 完全从 My Cloud OS 中删除,因此建议 WD NAS 设备更新至该版本或后续版本。
如下设备均使用了可被利用的 Netatalk 服务,因此均易受攻击:
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX 4100
My Cloud Mirror Gen 2
My Cloud EX2100
My Cloud DL2100
My Cloud DL4100
升级至最新固件版本后,虽然Netatalk 服务将不再可用,但仍可通过SMB继续访问网络共享。具体支持可见:https://support-en.wd.com/app/answers/detail/a_id/32003/
漏洞技术详情可见:https://research.nccgroup.com/2022/03/24/remote-code-execution-on-western-digital-pr4100-nas-cve-2022-23121/
https://www.bleepingcomputer.com/news/security/western-digital-my-cloud-os-update-fixes-critical-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~