酷应用

希捷NAS出现远程代码执行漏洞

业界作者：站内编辑 2015-03-02 07:10:01

国外安全研究人员OJ Reeves发现了希捷NAS的一枚远程代码执行漏洞，并在去年的10月7日报告给了官方，但是130天过去官方仍然没有修复该漏洞，所以今天他放出了漏洞细节。

概述希捷（Seagate Technology Cor）目前是全球最大的硬盘、磁盘和读写磁头制造商。他主打商业对象的NAS叫做Business Storage 2-Bay NAS，很多情况下他暴漏在公网上。本次的远程代码执行漏洞出现在2014.00319版本的固件上，攻击者可以在没有认证的情况下远程执行命令，获取设备root权限。 漏洞细节 希捷NAS存在一个web形式的管理界面，当管理员登录后可以通过它进行一些操作，比如添加用户，设置访问控制，管理文件等等。 Web的主要配置如下： PHP 5.2.13 CodeIgniter 2.1.0 Lighttpd 1.4.28 都是一些很老的版本，我们知道在PHP 5.2版本可以通过空字符截断来包含文件。在CodeIgniter 2.2.0之前的版本我们可以提取秘钥然后解密cookie (CVE-2014-8686)进行对象注入。同时每一个CI框架都应该使用不同的加密Key，但是在希捷的NAS产品中，所有的加密key是一样的。 CI的框架是把SESSION放在客户端存储的，有下面这几个参数： Username：这是一个字符串值,代表当前会话的用户的名称 is_admin：这是一个字符串值，可以为yes或者no，来判断当前用户是否为管理员 language：这是来设置用户当前的语言的一旦一个session被确认并且cookie中有username参数，系统没有进一步验证用户凭证。这意味着一旦用户可以操作这个值，就可以完全绕过登录机制。 is_admin参数可以使用户提升权限为管理员。 Language会包含相应的php语言文件，这里存在本地文件包含漏洞。 利用漏洞 想利用这个漏洞以root权限远程执行代码并不难，关键的几步如下： 1、攻击者必须把php代码写入NAS的文件系统，可以通过下面几步做到：通过User-Agent毒化HTTP access log文件通过Host毒化HTTP error log文件在Web界面修改设备的描述，他会把user-controlled字符串写入/etc/devicedesc文件上传一个文件并且在公网上分享 2、然后去修改cookie中的language参数来包含文件，并且用00截断。 3、攻击者带着这个恶意的cookie去访问设备便可以执行命令。 Exploit Metasploit模块 Python脚本 t013542de0587e42937