西部数据My Cloud修复开源服务爆严重漏洞，可被滥用劫持设备

西部数据发布了新的 My Cloud OS 固件，以修复漏洞猎人在 Pwn2Own 2021 黑客竞赛期间利用的漏洞，以实现远程代码执行。

该漏洞被跟踪为 CVE-2022-23121，被 NCC 集团的 EDG 团队 成员利用，并依赖于 My Cloud OS 中包含的名为“Netatalk Service”的开源服务。

该漏洞的 CVSS v3 严重性评分为 9.8，允许远程攻击者在目标设备（在本例中为 WD PR4100 NAS）上执行任意代码，而无需进行身份验证。

“特定的缺陷存在于 parse_entries 函数中。该问题是由于在解析 AppleDouble 条目时缺乏适当的错误处理造成的，”零日倡议咨询解释道。

“攻击者可以利用此漏洞在 root 上下文中执行代码。”

Netatalk 服务中的漏洞

Netatalk 是 Apple 归档协议 (AFP) 的免费开源实现，允许类 Unix 操作系统充当 macOS 客户端的文件服务器。

WD 在其部分 NAS 设备中使用的版本于 2018 年 12 月发布，这是一个半废弃的开源项目的典型案例，该项目在黑客竞赛时已经存在其他已知的可利用漏洞。

更糟糕的是，西部数据 PR4100 默认拥有公共 AFP 共享，黑客无需用户身份验证即可使用该共享。

该组织使用此公共共享来联系各种身份验证后处理程序，加快并减轻他们的破解工作。

在最近的 Pwn2Own 中利用 RCE 之后，Netatalk 开发团队发布 了该软件的3.1.13 版本 以修复安全漏洞。

除了 CVE-2022-23121 之外，新版本的 Netatalk 还修复了其他六个漏洞，其中一些 也是关键 (9.8) RCE。

因此，建议所有使用特定开源工具的软件开发人员安装最新版本的服务。

西部数据下架 Netatalk

Western Digital 决定在固件更新 5.19.117中弃用该服务并将其从 My Cloud OS 中完全 删除，因此建议 WD NAS 设备的用户升级到该版本或更高版本。

此版本支持的设备如下所示，由于都使用了可利用的 Netatalk 服务，因此它们都被认为是易受攻击的。

My Cloud PR2100My Cloud PR4100My Cloud EX2 UltraMy Cloud EX 4100My Cloud Mirror Gen 2My Cloud EX2100My Cloud DL2100My Cloud DL4100

升级到最新固件版本后，Netatalk 服务将不再可用，但您可以继续通过 SMB 访问网络共享。有关如何执行此操作的更多信息，请参阅此支持页面。

原文来自: bleepingcomputer.com