Loading...
ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

WD MyCloud の複数の脆弱性

パーソナルストレージのセキュリティリサーチを行っている間に、WD (Western Digital)社の MyCloud デバイスに関するいくつかの脆弱性を見つけました。Trustwave は 2017 年にそれらにつ いて WD 社に報告しました。現在ではパッチが入手可能になったので、技術的な詳細について議 論することができるようになりました。

最初の発見は、nas_sharing.cgi バイナリ内にハードコーディングされた管理者の資格情報でした。 これらの資格情報は誰でも、ユーザー名"mydlinkBRionyg"でデバイスを認証することができます。 いくつのデバイスが影響を受けるかを考えると、これは非常に深刻なものです。興味深いことに、 別の研究者が、同じ問題について 1 ヵ月前に詳細を発表しています。

nas_sharing.cgi で発見したもう一つの問題は、どのユーザーもシェルコマンドを root として実行で きることです。このエクスプロイトを利用するために”artist” パラメータが使用されます。 図 1 は、ハードコードされた資格情報を使用してログインし、ファイルを作成するためのコマンドを 実行するために、これらの 2 つの結果を組み合わせた概念の証明を示しています。このコマンド は base64 エンコーディングを使用して”artist” パラメータ内で渡されます。この特定のスクリーン ショットでは、コマンドは ” ; touch /jambon; echo” にデコードされています。

POC
Figure 1: Proof of concept combing the hard coded credentials and the command execution

同じ nas_sharing.cgi バイナリの最後の問題は、任意のファイルの削除です。これは ”path” パラメ ータの操作によって可能です。通常、組み込みシステムでは多くのプロセスが無制限に実行され るため(root として)、一度コマンド(今回の場合はファイルの削除)が実行されると、セキュリティチ ェックは一切実行されません。図 2 は、ハードコーディングされた資格情報を結合し、ファイルを削 除するために ”path” パラメータを使用する概念の証明を示しています。上記の “artist” パラメー タと同様に、コマンドは base64 エンコードを使用して渡されます。

Rm
図 2:ハードコードされた資格情報と任意のファイルの削除を組み合わせた概念実証

WD 社は、 ファームウェアバージョン 2.30.172 で修正されたこれらの問題をリストし、リリースノート に記載に記載しています。

「許可されていないファイルの削除、許可されていないコマンドの実行、および認証のバイパスを 可能にする重大なセキュリティ上の脆弱性を解決しました。」

いつものように、Trustwave はすぐにこのアップデートを適用することを強く推奨します。これらの 脆弱性に関する詳細は、下記を参照してください。 http://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2018-001/?fid=10658