2 miliona NAS uređaja u opasnosti zbog Zero-Day ranjivosti

Otkrivene su kritične, Zero-day ranjivosti kod više vendora NAS uređaja - WD, SeaGate, NetGear itd. U uređajima poput WD My Book, NetGear Stora, Seagate Home i Medion LifeCloud, za eksploatisanje ranjivosti nije potrebna interakcija korisnika.

Mrežni sistemi za skladištenje podataka (NAS) su uređaji od posebnog značaja za mala i srednja preduzeća, jer omogućavaju dodatni prostor za čuvanje fajlova.

Otkrivene su ranjivosti CVE-2018-18472 i CVE-2018-18471, a odnose se na 4 popularna NAS uređaja:

  • WD My Book
  • NetGear Stora
  • Seagate Home
  • Medion LifeCloud NAS

Eksploatisanjem ovih ranjivosti, napadači mogu da pristupe uređaju daljinski bez ikakve interakcije korisnika i da dobiju najviši nivo privilegija. Vešti hakeri mogu da dobiju privilegije poput čitanja fajlova, dodavanja i brisanja korisnika, dodavanja i modifikovanja postojećih podataka, izvršavanja komandi itd. Sva 4 testirana modela uređaja imaju iste ranjivosti (preauth RCE), a ukupno postoji oko 2 miliona takvih uređaja online. S pravom se pretpostavlja da i mnogi drugi NAS uređaji imaju slične ranjivosti.

Problem sa Axentra Hipserv firmwareom – XXE i preauth RCE

Axentra Hipserv je NAS OS koji pruža login pristup zasnovan na cloudu i skladište podataka koje se koristi u proizvodima različitih vendora kao što su Netgear Stora, Seagate GoFlex Home i Medion LifeCloud. U ovom slučaju, kompanija obezbeđuje firmware sa web interfejsom koji uglavnom koristi PHP kao jezik na strani servera. Web interfejs ima REST API endpoint i klasičan intefejs za web menadžment sa podrškom za fajl menadžer. Ranjivost u ovom web interfejsu je otvorila vrata za eksploatisanje, jer je omogućeno čitanje fajlova i izvođenje SSRF napada.

Ukoliko vas interesuju tehnički detalji, ovde možete pronaći više informacija.

Ranjivost u WD MyCloud

U WD MyBook Live nalazi se ranjivost koja dozvoljava RCE bez autentifikacije. To praktično znači da napadač dobija root pristup i može da pokreće komande na uređaju. Ranjivost se nalazi u funkcionalnosti ‘izmeni i modifikuj’ u REST API.

Preporuke

  • Ukoliko koristite neki od pogođenih uređaja i ukoliko su povezani na WAN, diskonektujte ih sa interneta (dozvolite rad samo u lokalnoj, bezbednoj mreži).
  • Kontaktirajte vendore spornih uređaja i zahtevajte da izbace patch što je pre moguće.

Izvor: GB Hackers