希捷偷偷修复 NAS 设备中的危险 bug
翻译:360代码卫士团队
希捷悄悄地修复了网络附加存储 (NAS) 产品“希捷个人云家用媒体内容存储器”固件中的一个漏洞。
该漏洞影响运行在 NAS 上的 Media Server,能让用户通过网络连接和存储在设备上的数据进行交互。
Media Server 接口运行在 Django (Python) app 之上。研究员 Yorick Koster 发现,如果攻击者向两份文档 (getLogs 和 uploadTelemetry) 发出恶意请求,那么就能诱骗 app 在底层设备上执行命令。
这个漏洞是一个未经认证的命令注入,能让攻击者能通过 web 管理接口在设备的底层固件中运行命令。Koster 提供的 PoC 代码能通过这个缺陷启用希捷 NAS 上的远程 SSH 访问权限并更改 root 密码。
不过这个接口仅可从本地网络中访问。攻击这个缺陷的唯一方式是诱骗和NAS 设备位于同样网络 (LAN) 上的恶意 URL。诱骗用户可通过钓鱼或恶意广告方式实现。钓鱼攻击可用于针对性攻击,而恶意广告可用于大规模利用中。
攻击者可内嵌攻击代码利用广告中的希捷 NAS 设备。当 NAS 设备的所有人访问了带有恶意广告的站点时,广告中隐藏的代码就会和易受攻击的 NAS 设备交互。
这种场景并非海市蜃楼,DNSChanger 利用包正是利用这个技巧利用了封闭的本地网中的路由器和物联网设备。
Koster 通过由 Beyond Security 公司的 SecuriTeam 管理的漏洞计划将问题告知希捷。
Beyond Security 公司表示在去年10月16日将问题告知希捷,虽然希捷证实收到了漏洞信息但拒绝做出技术响应,并未给出修复时间轴或协调安全公告的发布。
Koster 表示,虽然希捷忽视了漏洞报告,但已经偷偷修复了自己所报告的漏洞。他指出自己的 NAS 设备上的问题已修复,可从希捷个人云为版本 4.3.18.0发布的变更日志中发现线索。
希捷尚未就此事发布任何评论。建议用户立即修复。
关联阅读
StorageCrypt 勒索软件利用 SambaCry 感染 NAS 设备
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/seagate-quietly-patches-dangerous-bug-in-nas-devices/