从Western Digital NAS硬盘驱动器中删除后门帐户

一位安全研究人员发现了西部数据MyCloud NAS设备的一系列重要的安全漏洞。其中一个漏洞为硬编码后门账户。他呼吁其公司尽快更新其便携式硬盘驱动器的固件。

海湾科技研究与开发部门的安全研究员James Bercegay在2017年6月发现并向西部数据报告了这些漏洞。

西部数据发布更新固件后，研究人员于上周三发表了一份详细报告。

RCE，后门和CSRF

该报告描述了三个主要的漏洞，可能被滥用，造成严重后果。下面提供了所有漏洞的简短摘要，如果想要更详细地了解每个漏洞，请应参Bercegay's bug report：

1）无限制的文件上传
研究人员在WD MyCloud内置的Web服务器上找到一个PHP文件可以让攻击者在该设备上上传文件。研究人员通过这个漏洞，在该设备上上传了一个web shell，使之完全掌控该设备。

2）硬编码后门帐户
攻击者可以使用用户名“mydlinkBRionyg”和密码“abc12345cba”登录WD MyCloud NAS设备。 虽然该后门程序不会给予攻击者管理员访问权限，但是攻击者可利用另一个漏洞获得后门帐户的root权限。

3）CSRF（跨站点请求伪造）
一个CSRF，可用于在设备上执行恶意命令，并重置设备的后端界面语言。

该漏洞极具传染性，可能会影响私人NAS设备

在所有发现的漏洞中，Bercegay认为硬编码后门帐户影响最大，因为通过此漏洞，攻击者不仅可以攻击连接到互联网的NAS设备，还可以攻击本地网络所隔离的设备。

研究人员认为这个漏洞利用非常简单，因此影响范围更大，更危险。“不仅如此，锁定到局域网的用户也不安全。简单来说，只要用户访问一个内置有iframe或img标签的网站，该网站会使用主机名为如“wdmycloud”和“wdmycloudmirror”等，向有漏洞的设备发送一个请求，从而接管该WDMyCloud。

研究人员提供了一个例子。

下面的代码适用于图片，当加载到WD NAS设备所有者的计算机上时，将格式化MyCloud设备。由于代码可以隐藏在广告或一个像素的iframe中，用户在加载页面时甚至不会注意到它。

< img src="http://wdmycloud/cgi-bin/nas_sharing.cgi?dbg=1&cmd=51&user=mydlinkBRionyg&passwd=YWJjMTIzNDVjYmE&start=1&count=1;rm+-rf+/;" >

西部数据发布固件版本2.30.174，已删除后门帐户并修复了漏洞。

以下WD MyCloud设备正在使用易受攻击的固件版本：

Vulnerable:

• MyCloud
• MyCloudMirror
• My Cloud Gen 2
• My Cloud PR2100
• My Cloud PR4100
• My Cloud EX2 Ultra
• My Cloud EX2
• My Cloud EX4
• My Cloud EX2100
• My Cloud EX4100
• My Cloud DL2100
• My Cloud DL4100

Not Vulnerable:
MyCloud 04.X Series
MyCloud 2.30.174

Bercegay发现的一些缺陷也是去年3月Exploitee.rs社区的研究人员发现的。
D-Link和WD在2014年共享相同的后门账户

伯塞吉还指出了另一个有趣的细节。

研究人员说，西部数据似乎通过第三方软件供应商与D-Link DNS-320L ShareCenter共享固件代码。

Bercegay说旧的D-Link DNS-320L ShareCenter固件代码也带有相同的后门程序，但是D-Link四年前就把它移除了。

来源：bleepingcomputer

本文由看雪翻译小组 哆啦咪 编译

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课