西數MyCloud設備存在認證繞過漏洞

研究人員發現西數MyCloud network-attached storage（網路存儲器，NAS）設備存在漏洞，攻擊者利用該漏洞可以繞過認證機制，並以管理員許可權控制設備。該漏洞被發現已經有1年半時間，但至今仍未修復。

該漏洞的CVE編號為CVE-2018-17153，是安全研究人員Remco Vermeulen 2017年4月9日報告發現的，並於第二天報告給西數。

攻擊者利用該漏洞可以在無需提供密碼的情況下以管理用戶身份進行認證，並獲取My Cloud設備的完全控制權。

研究人員在西數My Cloud WDBCTL0020HWT（固件版本2.30.172）上進行了測試。該漏洞並不限於該型號，因為My Cloud產品會共享一些代碼。

漏洞詳情

在進行管理認證時，會創建一個與用戶IP地址綁定的服務端session。Session創建後就可能在HTTP請求中發送cookie username=admin來調用認證CGI模塊。調用的CGI會檢查是否有有效的session，並檢查是否與用戶IP地址相綁定。

研究人員發現非認證的攻擊者可以在不需認證的情況下創建一個有效的session。network_mgr.cgi CGI模塊含有一個名為cgi_get_ipv6的命令，cgi_get_ipv6會以與用戶IP地址關聯的admin session開始，調用參數flag=1的請求。如果攻擊者設置username=admin cookie，隨後需要管理員許可權的命令調用現在就是經過認證的了。

PoC

下面是利用該漏洞的步驟。

首先，建立一個與請求的IP地址相關的admin session：

POST /cgi-bin/network_mgr.cgi HTTP/1.1Host: wdmycloud.localContent-Type: application/x-www-form-urlencodedCookie: username=adminContent-Length: 23 cmd=cgi_get_ipv6&flag=1

然後，調用需要管理許可權和添加cookie username=admin來以admin認證的endpoint (e.g., cgi_get_ssh_pw_status)。

在訪問dashboard之前通過控制台設置瀏覽器中的cookie會將用戶認證為administrator。

下面的PoC證明了濫用用戶瀏覽器來遠程入侵本地網路上的MyCloud設備的攻擊：

Vermeulen稱被入侵的My Cloud NAS可以通過CSRF來完成，允許攻擊者來互聯網上不可達的目標設備。

影響及修復

其實，Vermeulen並不是唯一一個發現該漏洞的安全研究人員。去年，Exploiteers在Def Con安全會議上就公布了該漏洞。並稱聯繫了西數，但西數拒絕接收或修復該問題。然後，Exploiteer的Zenofex構建了一個利用該漏洞的Metasploit模塊。

截止目前，大約有1870個西數My Cloud NAS系統聯網，主要位於歐洲。

而且NAS設備可以用作備份，所以可能含有對用戶有價值的數據。

至少有兩個安全研究人員報告了該漏洞，並且截止目前時間超過一年，POC和漏洞利用模塊都有了，攻擊者可以隨時利用這些來攻擊西數產品，比如進行勒索攻擊。

9月19日最新消息，西數稱正在開發解決CVE-2018-17153漏洞的更新固件，目前已經進入最後一階段。固件更新後會發布在https://support.wdc.com/的技術支持頁面，西數建議NAS設備用戶開啟自動更新或者不要直接聯網。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！