聚焦源代码安全,网罗国内外最新资讯!
这些漏洞及利用已在2022年12月 ZDI 多伦多 Pwn2Own 大赛上展示。西部数据和群晖已发布补丁(某些情况下是自动推送)并发布安全公告,将漏洞告知客户。群晖发布了一份安全公告,西部数据分别在12月份、1月份和5月份发布三份安全公告。
研究人员找到枚举所有西部数据云 NAS 设备的方法,对这些设备进行模拟,并通过厂商的 MyCloud 服务获得对每个系统的访问权限。攻击者可利用这些漏洞远程访问用户文件、执行任意代码并完全控制连接云的设备。
研究人员解释称,“首先,我们枚举所有设备 GUID 并选择目标清单。之后我们模拟设备、窃取其云隧道并断联设备。设备所执行的任何请求都会发给我们,使我们获得设备管理员的认证令牌。通过使用新获取的权限,我们在设备上创建了新的共享,将其映射到 /tmp 目录。随后我们将反向 shell payload 写到该目录并通过云重启。不管设备在何时重启,都会执行我们的 payload,从而在设备上执行代码。”
研究人员还发现一些漏洞,可用于模拟群晖NAS设备并强制 QuickConnect 云服务将用户重定向至遭攻击者控制的设备。攻击者可利用这些漏洞窃取凭据、访问用户数据并远程执行任意代码,从而控制设备并发动进一步的攻击。
研究人员分析发现数百万西部数据和群晖 NAS 设备易受攻击。
鉴于“基于远程已知信息而非机密的弱设备认证”,西部数据和群晖利用是很可能存在的,研究人员认为类似问题可能影响其它厂商的设备。
Claroty 公司也分别就西部数据和群晖漏洞发布博客文章。
原文始发于微信公众号(代码卫士):西部数据、群晖 NAS 漏洞暴露数百万用户的文件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论