Zraniteľnosť v sieťovom úložisku NAS od Western Digital a Synology

Spoločnosti Western Digital a Synology vydali varovanie pre sadu zraniteľností, ktoré môže ohroziť milióny zariadení NAS. Útočník by mohol využiť tieto chyby na krádež poverení, prístup k údajom používateľa a vzdialené, čím by získal kontrolu nad zariadením a možnosť vykonávania ďalších útokov.

Zraniteľné systémy:

My Cloud PR2100

My Cloud PR4100

My Cloud EX4100

My Cloud EX2 Ultra

My Cloud Mirror G2

My Cloud DL2100

My Cloud DL4100

My Cloud EX2100

My Cloud

WD Cloud

Opis činnosti:

CVE-2022-29841(CVSS skóre 9,8)

CVE-2022-36331(CVSS skóre 7,5)

CVE-2022-36328 (CVSS skóre 4,9)

Sada zraniteľností v produktoch pre sieťové pripojené úložisko (NAS), by mohla ohroziť súbory miliónov používateľov. Tieto zraniteľnosti a ich zneužívanie boli objavené na hackerskej súťaži Zero Day Initiative Pwn2Own v Toronte, v decembri 2022. Účastníci získali takmer 1 milión dolárov za hackovanie smartfónov, tlačiarní, routerov, zariadení NAS a inteligentných reproduktorov.

Výskumníci z Claroty prišli na možnosť, ako napodobniť identifikátor zariadení a získať prístup k systému výrobcu pomocou služby MyCloud. Útočník má možnosť získať autentifikačný token pre správcu zariadenia a vďaka nemu prístup do zariadenia. Využitím tejto sady zraniteľností dokáže útočník napríklad vytvoriť nový zdieľaný priečinok a nahrať do neho reverzný shell.

Útočník by mohol zneužiť tieto chyby na krádež poverení, prístup k údajom používateľa a vzdialené vykonávanie kódu, čím by získal kontrolu nad zariadením a možnosť vykonávania ďalších útokov.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • vykonávanie ľubovoľného kódu
  • vzdialený prístup k súborom používateľa

Odporúčania:

Bezodkladná aktualizácia softvéru na verziu 5.26.119 a novšiu. Zariadeniam, ktoré ešte neboli aktualizované, spoločnosť WD zakázala pripojenie ku službe MyCloud, kým nebudú mať nainštalovanú aktuálnu verziu firmvéru.

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2022-29841

https://nvd.nist.gov/vuln/detail/CVE-2022-36331

https://nvd.nist.gov/vuln/detail/CVE-2022-36328

https://claroty.com/team82/research/a-pain-in-the-nas-exploiting-cloud-connectivity-to-pwn-your-nas-wd-pr4100-edition

https://www.securityweek.com/western-digital-synology-nas-vulnerabilities-exposed-millions-of-users-files/

https://www.westerndigital.com/en-in/support/product-security/wdc-23002-my-cloud-firmware-version-5-26-119