西部数据 “My Cloud” 存储设备中被曝存在 0day 漏洞

翻译：360代码卫士团队

西部数据的WDMyCloud 是全球最流行的网络存储设备之一，供个人和企业用户托管文件并自动备份、同步到多种云和网络服务中。用户不仅能在家庭网络中共享文件，还能随时随地访问数据。

由于这些设备旨在通过互联网连接，因此这个硬编码的后门可能导致黑客获得访问权限。

GulfTech 研发团队近期公布了一份安全公告，详述了在 WDMyCloud 设备中发现的一个硬编码后门和多个漏洞问题，它们可导致远程攻击者注入自己的命令以及在未获授权的情况下上传并下载敏感文件。

值得注意的是，该团队的研究员 James Bercegay 早在去年6月份就将问题告知西部数据公司，后者证实了漏洞的存在并要求在披露前获得90天的修复时间。今年1月3日（已过去180Tina），这些漏洞仍未修复，GulfTech 公开披露了漏洞详情。

这个漏洞能导致远程攻击者将任意文件上传到运行在联网的且易受攻击的存储设备上的服务器中。这个漏洞存在于 “multi_uploadify.php” 脚本中，原因是开发人员错误地执行了 gethostbyaddr() PHP 函数。

该漏洞也可轻易遭利用从而获得一个远程 shell 作为 root。为此，攻击者所需要做的就是发送一个包含通过参数 Filedata[0]上传的文件的 POST请求。Filedata[0]是指文件将被上传的位置， “folder” 参数以及虚假的 “Host” 头信息具体说明了该位置。

研究人员还编写了一个 Metasploit 模块来利用这个漏洞，并指出，“这个 [metaspoit] 模块会利用漏洞将一个 PHP webshell 上传到 ‘/var/www/’ 目录中。上传后，通过请求指向后门的一个 URI 就可执行 webshell，从而触发 payload。”

研究人员还发现设备中存在一个管理员用户名为 “mydlinkBRionyg” 而密码为 “abc12345cba” 的“经典后门”被硬编码到二进制中且无法更改。因此任何人皆可通过这些凭证登录到 WD My Cloud 设备中。另外，任何人可通过这个后门访问易受命令注入并引发 root shell。

研究人员指出，攻击者通过让用户访问一个网站即可接管 WDMyCloud，在这个站点中，嵌入式 iframe 或 img 标签通过 WDMyCloud 可预知的默认主机名称如 “wdmycloud” 和 “wdmycloudmirror” 等向易受攻击设备提出请求。

除了以上提到的两个严重漏洞外，研究人员还报告了其他一些重要缺陷：

跨站点请求伪造 (XSRF) ：由于 WD My Cloud web 接口中并不存在真正的 XSRF 防御措施，任意恶意站点都可能让受害者的网络浏览器连接到网络上的一台 My Cloud 设备并攻陷它。只需访问存在陷阱的网站就可导致用户对 My Cloud 设备失去控制。

命令注入：去年3月份， Exploitee.rs 团队的一名成员在 WD My Cloud 设备中发现多个命令注入问题，如结合 XSFR 缺陷使用就可完全控制受影响设备。

拒绝服务：研究人员还发现任意未认证用户可为整个存储设备及其所有用户设置全球语言偏好，攻击者可利用这个功能向 web 接口引发拒绝服务条件。

信息披露：研究人员指出，攻击者还可泄露含有所有用户信息的清单，只需向 web 服务器发出一个简单的请求如 GET /api/2.1/rest/users?HTTP/1.1 而无需获得任何认证就可获取用户详细信息。

西部数据的 My Cloud 和 My Cloud Mirror 固件版本 2.30.165 及 之前版本均受以上提及的所有漏洞影响。

受影响的设备型号包括 My Cloud Gen 2、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100和My Cloud DL4100。

所有漏洞的 Metasploit 模块均已发布到网上。

西部数据云服务设备可遭本地或远程攻击

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接:

https://thehackernews.com/2018/01/western-digital-mycloud.html