西部数据用户面临另一个 RCE

  • A+
所属分类:安全文章

更多全球网络安全资讯尽在邑安全

西部数据用户面临另一个 RCE

对于那些不能/不会升级他们的 My Cloud 存储设备的人来说,向又一个零日和更多潜在的远程数据死亡问好。

坏消息一共有三条,尤其是对于西部数据客户而言。

对于上个月数不清的数据消失的西部数据客户来说,情况似乎还不够糟糕,还有另一个零日等待无法或不会升级其 My Cloud 存储设备的人。

最新的零日漏洞包含一个攻击链,允许未经身份验证的入侵者以 root 身份执行代码并在供应商的网络附加存储 (NAS) 设备上安装永久后门。它存在于所有运行不再受支持的旧版 My Cloud 3 操作系统的西部数据 NAS 设备中:研究人员称该操作系统“处于不确定状态”,因为西部数据最近停止支持它。

西部数据表示,其更新——My Cloud OS 5——修复了该错误。也许是这样,但发现 OS 3 漏洞的研究人员Radek Domanski 和 Pedro Ribeiro告诉安全记者Brian Krebs,OS 5 是对 OS 3 的完全重写,它歪曲了一些流行的特性和功能。因此,并非所有用户都可能升级:当 6 月份发生远程数据擦除时,许多用户在支持论坛中引用使用 OS 3 时强调了这一假设。

“它破坏了很多功能,”多曼斯基在谈到 OS 5 时说,正如 Krebs 所说。“所以有些用户可能不会决定迁移到 OS 5。”

还有希望。Domanski 和 Ribeiro 已经开发并发布了他们自己的补丁来修复他们在 OS 3 中发现的漏洞。一个问题:每次设备重新启动时都需要重新应用。

全球 RCE 数据擦除

上个月,我们看到了这样的错误可能导致的后果:世界各地的客户都在哀叹,因为他们的旧 My Book Live 和 My Book Live Duo 设备上的数据被远程擦除了数年(在某些情况下为数十年)。

六月的攻击实际上是两次攻击合并成一个乍一看的攻击:一个来自 2018 年的旧远程代码执行 (RCE) 错误,西部数据首先将其归咎于远程擦除,然后是一个以前未知的零日漏洞启用未经身份验证的远程出厂重置设备擦除。

正如 Ars Technica 的 Dan Goodin在一篇引人入胜的文章中详述的那样,Ars 和安全公司 Censys 的 CTO Derek Abdine 分析了受影响设备的日志,发现这些设备似乎陷入了某种拉锯战,Abdine假设可能是多个攻击者之间为控制受感染设备而进行的斗争。

最新的零日

现在是Krebs 上周报告的最新错误。这是更广泛的新型西部数据 My Cloud NAS 设备中的第三个同样严重的零日漏洞。Domanski 和 Ribeiro 最初计划于去年在东京举行的Pwn2Own黑客大赛上展示它。

他们从来没有这样做:正如供应商倾向于做的那样,Western Digital 在这对搭档——他们作为 Flashback Team 一起黑客——要展示的前一周推出了更新。鉴于更新消除了他们的错误,研究人员无法竞争。Pwn2Own 规则规定,漏洞利用适用于目标设备支持的最新固件或软件。

但在 2 月份,他们确实发布了他们拼凑的攻击链,如下面的 YouTube 视频所示。两人让西部数据“尝到了他们自己的药”,让该公司只有一周的时间来修复漏洞,作为 OS 5 更新下降导致 Pwn2Own 事件的那一周的反映。

时间怎么这么少?几个原因:因为 OS 3 不支持,因为 Comparitech 研究人员已经在他们于 2020 年 11 月发布的西部数据设备中发现了五个关键的 RCE 缺陷,因为西部数据从未对闪回团队做出回应,以及因为西部数据的官方回应有点耸耸肩。也就是说,供应商建议放弃 OS 3 并升级到 OS 5:这一回应并未说明该公司是否确实修复了 OS 3 漏洞。

在 2021 年 3 月 12 日的声明中,该公司表示将不再支持 OS 3:

我们不会为 My Cloud OS3 固件提供任何进一步的安全更新。我们强烈建议迁移到 My Cloud OS5 固件。

“我们强烈鼓励转向 My Cloud OS5 固件,”Western Digital 在声明中表示。“如果您的设备不符合升级到 My Cloud OS 5 的条件,我们建议您升级到我们支持 My Cloud OS 5 的其他 My Cloud 产品之一。可以在此处找到更多信息。” 供应商还提供了可以支持 OS 5 的 My Cloud 设备列表。

西部数据忽略了 Krebs 关于 OS 3 中的漏洞是否得到解决的问题。Threatpost 联系该公司询问相同的问题,如果我们收到回复,我们将更新文章。

西部数据告诉 Krebs,它没有回应 Flashback Team,因为它在 Pwn2Own Tokyo 2020 之后收到了他们的报告,但当时他们报告的漏洞已经在 My Cloud OS 5 的发布中得到修复。

西部数据告诉 Krebs OnSecurity:“我们收到的消息证实,参与的研究团队计划发布漏洞的详细信息,并要求我们就任何问题与他们联系。” “我们没有任何问题,所以我们没有回应。从那时起,我们更新了我们的流程并对每份报告做出回应,以避免再次出现此类误传。我们非常重视安全研究界的报告,并在收到后立即展开调查。”

那不会停止更新它

Tripwire 的首席安全研究员 Craig Young 告诉 Threatpost,无视安全研究人员的建议是不好的形式。“软件供应商忽视安全研究人员的沟通是一种非常糟糕的做法,”他通过电子邮件说。“'我们没有任何问题,所以我们没有回应'只是不能作为供应商沉默的解释。”

相反,最佳实践要求“安全团队收到的所有报告都会对报告者做出某种形式的回应,”杨继续说道。“还值得仔细看看这里的时间表。根据我所读到的内容,供应商在对该平台的支持结束前几个月就知道了影响 OS 3 的严重缺陷。虽然他们优先发布包括安全修复程序在内的新主要版本是可以理解的,但供应商也应该在 OS 3 用户在 2021 年 3 月停止支持之前很久就向后移植该修复程序。”

原文来自: threatpost.com

原文链接: https://threatpost.com/rce-0-day-western-digital-users/167547/

欢迎收藏并分享朋友圈,让五邑人网络更安全

西部数据用户面临另一个 RCE

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):西部数据用户面临另一个 RCE

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: