LG NAS设备中被指存在未修复的 RCE 漏洞

翻译：360代码卫士团队

如果你安装了由 LG 电子生产的网络附加存储 (NAS) 设备，那么你应该马上将其断网并仔细阅读这篇文章，然后采取正确措施保护敏感数据的安全。

一名安全研究员已发布了多款 LG NAS 设备机型中存在的一个未经修复的严重的远程命令执行 (RCE) 漏洞，它使攻击者能够攻陷受感染设备并窃取数据。

LG NAS 设备是一款连接网络的专门文件存储单元，供用户将信息存储并分享于多台计算机中。授权用户还可远程访问这些数据。

VPN Mentor 公司的研究人员发现了 LG NAS中存在的 RCE 漏洞。该公司上个月在三款流行 VPN 即 HotSpot Shield、PureVPN 和 Zenmate 中发现了多个严重漏洞。

这个 LG NAS 缺陷是一个预认证的远程命令注入漏洞，它产生的原因在于远程管理的用户登录页面的 “password” 参数的验证不正确，从而导致远程攻击者能够通过密码字段传递任意系统命令。

研究人员通过视频演示称，攻击者能够利用这个漏洞首先在易受攻击的联网存储设备上写入一个简单的可持续性 shell。攻击者随后可通过这个 shell 轻易地执行更多的命令，其中一个命令可使得攻击者下载 NAS 设备的完整数据库，包括用户邮件、用户名和 MD5 哈希密码。

由于受 MD5 加密哈希函数保护的密码可遭轻易破解，因此攻击者可获得授权访问权限并窃取易受攻击设备中存储的用户敏感数据。

如果攻击者不想破解被盗密码，那么他们完全可以运行另一个命令将新用户添加至设备，然后用这些凭证登录实施攻击。而攻击者只需要生成一个有效的 MD5 即可将新用户添加至数据库。研究人员表示，“我们能够利用所包含的 MD5 工具通过用户名测试和密码1234创建一个哈希。”

由于LG 尚未发布补丁，建议LG NAS 设备的用户将设备设置为不可从公开互联网访问的状态，且应该设置防火墙保护仅允许受信任的 IP 地址连接至 web 接口。

同时建议用户通过定期查看设备上所有的注册用户名和密码的方式，判断设备上是否存在可疑活动。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。