Western Digital MyCloud: Haarstäubende Sicherheitslücken

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33672
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Western Digital MyCloud: Haarstäubende Sicherheitslücken

Beitrag von doelf » 16 Jan 2018, 10:20

James Bercegay von "GulfTech Research and Development" hat sich Western Digitals MyCloud, also das Betriebssystem der NAS-Lösungen des Festplattenherstellers, angesehen und dabei haarsträubende Sicherheitslücken entdeckt. Der Code aus dem Hause D-Link ermöglicht nicht nur einen unbeschränkten Datei-Upload, über den man betroffene NAS-Systeme übernehmen kann, sondern enthält auch eine Hintertüre mit fest codierten Zugangsdaten und Admin-Rechten.

Unbeschränkter Datei-Upload (CVE-2017-17560)
Das Script multi_uploadify.php setzt die PHP-Funktion gethostbyaddr() falsch ein. gethostbyaddr() liefert im Erfolgsfall den Hostnamen, bei einem fehlgeschlagenen Auflösungsversuch die IP-Adresse und bei fehlerhaften Eingaben den Wert FALSE. Letzteres wird nicht abgefangen und auch die Idee, dass ein Angreifer den Host über eine von ihm übermittelte IP-Adresse bestimmen kann, ist nicht sonderlich clever. Bercegay hat ein Metasploit-Modul entwickelt, welches eine Post-Anfrage an das NAS schickt, die den Upload einer PHP-Webshell in das Verzeichnis "/var/www/" auslöst. Nun muss der Angreifer diese Hintertür nur noch aufrufen und schon hat er vollen Zugriff auf den Netzwerkspeicher.

Hintertüre mit fest codierten Zugangsdaten
Nach seiner ersten Entdeckung analysierte Bercegay die CGI-Binärdateien (Linux ELF), die er über das Webinterface erreichen konnte. Das seltsame Verhalten von nas_sharing.cgi erweckte die Neugierde des Sicherheitsforschers und zunächst präsentierten sich etliche Programmierfehler. Gekrönt wurden diese durch eine Funktion, welche den Fernzugriff für Benutzer authentifizieren soll, denn die zu akzeptierenden Zugangsdaten (Benutzername: "mydlinkBRionyg"; Passwort: "abc12345cba") stehen im Quellcode. Der aus der Ferne auf das NAS zugreifende Nutzer mydlinkBRionyg hat administrative Rechte und sein Name deutet darauf hin, dass der ganze Mist von D-Link verzapft wurde.

Nachdem Bercegay die Fehler in sharing.cgi analysiert hatte, konnte er Eingaben erstellen, welche das Script nicht zum Absturz bringen und sich aus der Ferne Root-Rechte verschaffen. Schlimmer noch: Auch die Beschränkung der NAS-Zugriffe auf ein lokales Netzwerk bringt keine Sicherheit, solange ein Angreifer den Host-Namen raten kann. Dann reicht es nämlich aus, einen manipulierten Aufruf, beispielsweise in Form eines Image-Tags oder iFrames, in eine Webseite einzubauen. Lädt ein Rechner im LAN diese bösartige Webseite, wird der Aufruf auf dem NAS ausgeführt und - beispielsweise - dessen kompletter Inhalt gelöscht.

Und noch mehr Sicherheitslücken
Andere Fehler, die Bercegay entdeckt hat, sind zwar hochgradig gefährlich, aber nicht ganz so kritisch. So vermisst der Sicherheitsforscher einen Schutz vor Cross Site Request Forgery (XSRF). Wird ein Administrator dazu gebracht, bestimmte Links aufzurufen, werden die darin eingebetteten Befehle ohne weitere Prüfung ausgeführt. Weiterhin gibt es etliche Schwachstellen, die das Einschleusen von Befehlen ermöglichen - obwohl Exploiteers ähnliche Fehler schon im März 2017 dokumentiert hatten. Dass jeder Nutzer ganz ohne Anmeldung die Spracheinstellungen für das gesamte Geräte und damit auch für alle anderen Benutzer verändern kann, ermöglicht indes einen DoS-Angriff durch ständigen Sprachwechsel. Ebenfalls ohne Autorisierung kommt man an die Nutzerdaten - der Befehl "GET /api/2.1/rest/users? HTTP/1.1" reicht hierzu aus.

D-Link DNS-320L ShareCenter
Aufgrund des fest hinterlegten Benutzernamens "mydlinkBRionyg" forschte Bercegay in diese Richtung und fand beim D-Link DNS-320L ShareCenter große Übereinstimmungen im Code - sowohl die Hintertüre als auch der unbeschränkte Datei-Upload fanden sich bei D-Link wieder. Allerdings scheint D-Link diese kritischen Sicherheitslücken mit der Veröffentlichung der Firmware 1.0.6 am 28. Juli 2014 geschlossen zu haben. Warum dies in Western Digitals MyCloud nicht geschah, wirft indes einige Fragen auf.

Erste Firmware-Updates verfügbar
Western Digital hat inzwischen erste Firmware-Updates veröffentlicht, welche sich um den unbeschränkten Datei-Upload (CVE-2017-17560) kümmern. Ob zugleich auch die Hintertüre mit den fest codierten Zugangsdaten entfernt wurde, ist derweil noch unklar. Wer ein NAS aus der MyCloud-Familie benutzt, sollte die Firmware-Updates umgehend einspielen. Und auch Besitzer des D-Link DNS-320L ShareCenters sollten sich unbedingt vergewissern, dass die darauf laufende Firmware noch aktuell ist!

Quelle:
http://gulftech.org/advisories/WDMyClou ... lities/125
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten