西部資料My Cloud儲存裝置被曝可提權認證繞過漏洞

摘要： 近期，網路裝置漏洞研究團隊exploitee.rs公佈，西部資料 My Cloud 網路儲存裝置存在一個認證繞過漏洞（ CVE-2018-17153），未授權的遠端或本地網路攻擊者可以利用該漏洞，無需密碼就能提權成為admin管理員身份，獲取對 My Cloud裝置的完全控制權。  ...

近期，網路裝置漏洞研究團隊exploitee.rs公佈，西部資料 My Cloud 網路儲存裝置存在一個認證繞過漏洞（ CVE-2018-17153），未授權的遠端或本地網路攻擊者可以利用該漏洞，無需密碼就能提權成為admin管理員身份，獲取對 My Cloud裝置的完全控制權。  

漏洞介紹

該漏洞能可使得未授權使用者能建立與其IP地址相關聯的管理員會話，然後進一步利用，可以實現管理員特權命令執行，獲取對My Cloud 儲存裝置的控制。該漏洞是研究者通過逆向CGI二進位制檔案時發現的。

當My Cloud裝置管理員授權認證登入後，會產生一個與其IP地址關聯的相應的服務端（ server-side）會話，然後該會話會在HTTP請求中以傳送username=admin的cookie形式去呼叫驗證性CGI模組，接著，被呼叫的驗證性CGI模組需要對當前與使用者IP關聯的會話有效性進行檢查校驗。

未授權的攻擊者可以建立一個不需驗證的有效會話，被呼叫的network_mgr.cgi CGI模組中包含了一個名為 cgi_get_ipv6 的命令，當CGI模組被呼叫時，其引數標誌為1時，該命令會啟動一個與使用者IP繫結關聯的管理員會話。通常來說，一些後續命令的呼叫執行需要管理員許可權，但如果攻擊者把cookie中的username設定為admin，也就是username=admin之後，則該會話就相當於管理員許可權，間接繞過了驗證授權限制。

存在漏洞的My Cloud版本

exploitee研究人員分析，該漏洞目前可以成功在韌體版本為2.30.172，型號為WDBCTL0020HWT的 My Cloud 儲存裝置上覆現，主要影響韌體版本為2.30.xxx的裝置，由於 My Cloud 的多個系列裝置開發程式碼都大同小異，因此，其它型號的裝置也非常可能存在該漏洞。可能存在漏洞的型號和對應韌體版本裝置為：

My Cloud FW 2.30.196
My Cloud Mirror Gen2 FW 2.30.196
My Cloud EX2 Ultra FW 2.30.196
My Cloud EX2100 FW 2.30.196
My Cloud EX4100 FW 2.30.196
My Cloud DL2100 FW 2.30.196
My Cloud DL4100 FW 2.30.196
My Cloud PR2100 FW 2.30.196
My Cloud PR4100 FW 2.30.196

漏洞利用POC

首先，攻擊者需要在POST請求中把自己的IP地址和會話關聯；

之後，設定username=admin和cmd=cgi_get_ipv6&flag=1：

POST /cgi-bin/network_mgr.cgi HTTP/1.1
Host: wdmycloud.local
Content-Type: application/x-www-form-urlencoded
Cookie: username=admin
Content-Length: 23
cmd=cgi_get_ipv6&flag=1

接下來，請求需要管理員許可權的My Cloud服務端，如cgi_get_ssh_pw_status；把以上cookie資訊設定在瀏覽器中，執行服務端請求之後，可以發現已經具備管理員許可權。如下圖所示：

最新的Metasploit漏洞利用模組 - ofollow" rel="nofollow,noindex" target="_blank">https://pastecry.pt/dUHB3e#PewMuk%3AUt2Ek3Bee4Rej2Syz5Mek

有安全研究者向記者透露，還可以通過惡意廣告形式（malvertising campaigns），用跨站漏洞技巧去入侵My Cloud 的NAS網路儲存裝置，這種方式還能入侵那些不聯網的My Cloud裝置。

該漏洞被發現的前後

據悉，該漏洞問題其實早在2017年4月9日就被安全團隊exploitee.rs在去年Def Con上的裝置漏洞集錦《 All Your Things Are Belong To Us! 》中披露過，但當exploitee向西部資料反饋後，西部資料卻拒絕承認和修復該漏洞，因此，毫無辦法的exploitee團隊只好在今年8月編寫出了漏洞利用的Metasploit模組，並以對外公佈了該漏洞。

2017.4.9     exploitee團隊發現漏洞
2017.4.10    exploitee團隊向西部資料上報該漏洞
……沒有下文….
2018.9.17    exploitee團隊向CVE請求公佈漏洞
2018.9.18    CVE官方給定漏洞編號CVE-2018-17153
2018.9.18    exploitee團隊公佈漏洞細節

而據瞭解，該漏洞在去年也被Securify公司研究員Remco Vermeulen上報過，但西部資料最終也並未成功修復。

後續

截至發稿前，記者發現，目前有1,870個曝露網際網路的西部資料My Cloud裝置，其中大多數處於歐洲，而且這個資料還在不斷增加。

2018.9.18 16:31 西部資料在Twitter聲稱已經在著手製作針對CVE-2018-17153的韌體更新

2018.9.18  西部資料針對CVE-2018-17153釋出了 補丁更新

*參考來源： securify  /  pingcomputer.com/news/security/my-cloud-nas-devices-vulnerable-to-auth-bypass-for-over-a-year/" ref="nofollow" rel="nofollow,noindex" target="_blank">bleepingcomputer ，clouds編譯，轉載請註明來自FreeBuf.COM