[資訊]（1.9）Western Digital NAS硬碟驅動器中存有後門

從Western Digital NAS硬碟驅動器中刪除後門帳戶

一位安全研究人員發現了西部資料MyCloud NAS裝置的一系列重要的安全漏洞。其中一個漏洞為硬編碼後門賬戶。他呼籲其公司儘快更新其行動式硬碟驅動器的韌體。

海灣科技研究與開發部門的安全研究員James Bercegay在2017年6月發現並向西部資料包告了這些漏洞。

西部資料釋出更新韌體後，研究人員於上週三發表了一份詳細報告。

RCE，後門和CSRF

該報告描述了三個主要的漏洞，可能被濫用，造成嚴重後果。下面提供了所有漏洞的簡短摘要，如果想要更詳細地瞭解每個漏洞，請應參Bercegay's bug report：

1）無限制的檔案上傳
研究人員在WD MyCloud內建的Web伺服器上找到一個PHP檔案可以讓攻擊者在該裝置上上傳檔案。研究人員通過這個漏洞，在該裝置上上傳了一個web shell，使之完全掌控該裝置。

2）硬編碼後門帳戶
攻擊者可以使用使用者名稱“mydlinkBRionyg”和密碼“abc12345cba”登入WD MyCloud NAS裝置。 雖然該後門程式不會給予攻擊者管理員訪問許可權，但是攻擊者可利用另一個漏洞獲得後門帳戶的root許可權。

3）CSRF（跨站點請求偽造）
一個CSRF，可用於在裝置上執行惡意命令，並重置裝置的後端介面語言。

該漏洞極具傳染性，可能會影響私人NAS裝置

在所有發現的漏洞中，Bercegay認為硬編碼後門帳戶影響最大，因為通過此漏洞，攻擊者不僅可以攻擊連線到網際網路的NAS裝置，還可以攻擊本地網路所隔離的裝置。

研究人員認為這個漏洞利用非常簡單，因此影響範圍更大，更危險。“不僅如此，鎖定到區域網的使用者也不安全。簡單來說，只要使用者訪問一個內建有iframe或img標籤的網站，該網站會使用主機名為如“wdmycloud”和“wdmycloudmirror”等，向有漏洞的裝置傳送一個請求，從而接管該WDMyCloud。

研究人員提供了一個例子。

下面的程式碼適用於圖片，當載入到WD NAS裝置所有者的計算機上時，將格式化MyCloud裝置。由於程式碼可以隱藏在廣告或一個畫素的iframe中，使用者在載入頁面時甚至不會注意到它。

< img src="http://wdmycloud/cgi-bin/nas_sharing.cgi?dbg=1&cmd=51&user=mydlinkBRionyg&passwd=YWJjMTIzNDVjYmE&start=1&count=1;rm+-rf+/;" >

西部資料釋出韌體版本2.30.174，已刪除後門帳戶並修復了漏洞。

以下WD MyCloud裝置正在使用易受攻擊的韌體版本：

Vulnerable:

• MyCloud
• MyCloudMirror
• My Cloud Gen 2
• My Cloud PR2100
• My Cloud PR4100
• My Cloud EX2 Ultra
• My Cloud EX2
• My Cloud EX4
• My Cloud EX2100
• My Cloud EX4100
• My Cloud DL2100
• My Cloud DL4100

Not Vulnerable:
MyCloud 04.X Series
MyCloud 2.30.174

Bercegay發現的一些缺陷也是去年3月Exploitee.rs社群的研究人員發現的。
D-Link和WD在2014年共享相同的後門賬戶

伯塞吉還指出了另一個有趣的細節。

研究人員說，西部資料似乎通過第三方軟體供應商與D-Link DNS-320L ShareCenter共享韌體程式碼。

Bercegay說舊的D-Link DNS-320L ShareCenter韌體程式碼也帶有相同的後門程式，但是D-Link四年前就把它移除了。

來源：bleepingcomputer

本文由看雪翻譯小組 哆啦咪 編譯