西部數據My Cloud存儲設備被曝可提權認證繞過漏洞

近期，網路設備漏洞研究團隊exploitee.rs公布，西部數據 My Cloud 網路存儲設備存在一個認證繞過漏洞（ CVE-2018-17153），未授權的遠程或本地網路攻擊者可以利用該漏洞，無需密碼就能提權成為admin管理員身份，獲取對 My Cloud設備的完全控制權。

漏洞介紹

該漏洞能可使得未授權用戶能創建與其IP地址相關聯的管理員會話，然後進一步利用，可以實現管理員特權命令執行，獲取對My Cloud 存儲設備的控制。該漏洞是研究者通過逆向CGI二進位文件時發現的。

當My Cloud設備管理員授權認證登錄後，會產生一個與其IP地址關聯的相應的服務端（ server-side）會話，然後該會話會在HTTP請求中以發送username=admin的cookie形式去調用驗證性CGI模塊，接著，被調用的驗證性CGI模塊需要對當前與用戶IP關聯的會話有效性進行檢查校驗。

未授權的攻擊者可以創建一個不需驗證的有效會話，被調用的network_mgr.cgi CGI模塊中包含了一個名為 cgi_get_ipv6 的命令，當CGI模塊被調用時，其參數標誌為1時，該命令會啟動一個與用戶IP綁定關聯的管理員會話。通常來說，一些後續命令的調用執行需要管理員許可權，但如果攻擊者把cookie中的username設置為admin，也就是username=admin之後，則該會話就相當於管理員許可權，間接繞過了驗證授許可權制。

存在漏洞的My Cloud版本

exploitee研究人員分析，該漏洞目前可以成功在固件版本為2.30.172，型號為WDBCTL0020HWT的 My Cloud 存儲設備上復現，主要影響固件版本為2.30.xxx的設備，由於 My Cloud 的多個系列設備開發代碼都大同小異，因此，其它型號的設備也非常可能存在該漏洞。可能存在漏洞的型號和對應固件版本設備為：

My Cloud FW 2.30.196

My Cloud Mirror Gen2 FW 2.30.196

My Cloud EX2 Ultra FW 2.30.196

My Cloud EX2100 FW 2.30.196

My Cloud EX4100 FW 2.30.196

My Cloud DL2100 FW 2.30.196

My Cloud DL4100 FW 2.30.196

My Cloud PR2100 FW 2.30.196

My Cloud PR4100 FW 2.30.196

漏洞利用POC

首先，攻擊者需要在POST請求中把自己的IP地址和會話關聯；

之後，設置username=admin和cmd=cgi_get_ipv6&flag;=1：

接下來，請求需要管理員許可權的My Cloud服務端，如cgi_get_ssh_pw_status；把以上cookie信息設置在瀏覽器中，執行服務端請求之後，可以發現已經具備管理員許可權。如下圖所示：

最新的Metasploit漏洞利用模塊 - https://pastecry.pt/dUHB3e#PewMuk%3AUt2Ek3Bee4Rej2Syz5Mek

有安全研究者向記者透露，還可以通過惡意廣告形式（malvertising campaigns），用跨站漏洞技巧去入侵My Cloud 的NAS網路存儲設備，這種方式還能入侵那些不聯網的My Cloud設備。

該漏洞被發現的前後

據悉，該漏洞問題其實早在2017年4月9日就被安全團隊exploitee.rs在去年Def Con上的設備漏洞集錦《All Your Things Are Belong To Us!》中披露過，但當exploitee向西部數據反饋後，西部數據卻拒絕承認和修復該漏洞，因此，毫無辦法的exploitee團隊只好在今年8月編寫出了漏洞利用的Metasploit模塊，並以對外公布了該漏洞。

2017.4.9 exploitee團隊發現漏洞

2017.4.10 exploitee團隊向西部數據上報該漏洞

……沒有下文….

2018.9.17 exploitee團隊向CVE請求公布漏洞

2018.9.18 CVE官方給定漏洞編號CVE-2018-17153

2018.9.18 exploitee團隊公布漏洞細節

而據了解，該漏洞在去年也被Securify公司研究員Remco Vermeulen上報過，但西部數據最終也並未成功修復。

後續

截至發稿前，記者發現，目前有1,870個曝露互聯網的西部數據My Cloud設備，其中大多數處於歐洲，而且這個數據還在不斷增加。

2018.9.18 16:31 西部數據在Twitter聲稱已經在著手製作針對CVE-2018-17153的固件更新

2018.9.18 西部數據針對CVE-2018-17153釋出了補丁更新

*參考來源：securify / bleepingcomputer，clouds編譯，轉載請註明來自FreeBuf.COM