Zraniteľnosť v sieťovom úložisku NAS od Western Digital a Synology
Spoločnosti Western Digital a Synology vydali varovanie pre sadu zraniteľností, ktoré môže ohroziť milióny zariadení NAS. Útočník by mohol využiť tieto chyby na krádež poverení, prístup k údajom používateľa a vzdialené, čím by získal kontrolu nad zariadením a možnosť vykonávania ďalších útokov.
Zraniteľné systémy:
My Cloud PR2100
My Cloud PR4100
My Cloud EX4100
My Cloud EX2 Ultra
My Cloud Mirror G2
My Cloud DL2100
My Cloud DL4100
My Cloud EX2100
My Cloud
WD Cloud
Opis činnosti:
CVE-2022-29841(CVSS skóre 9,8)
CVE-2022-36331(CVSS skóre 7,5)
CVE-2022-36328 (CVSS skóre 4,9)
Sada zraniteľností v produktoch pre sieťové pripojené úložisko (NAS), by mohla ohroziť súbory miliónov používateľov. Tieto zraniteľnosti a ich zneužívanie boli objavené na hackerskej súťaži Zero Day Initiative Pwn2Own v Toronte, v decembri 2022. Účastníci získali takmer 1 milión dolárov za hackovanie smartfónov, tlačiarní, routerov, zariadení NAS a inteligentných reproduktorov.
Výskumníci z Claroty prišli na možnosť, ako napodobniť identifikátor zariadení a získať prístup k systému výrobcu pomocou služby MyCloud. Útočník má možnosť získať autentifikačný token pre správcu zariadenia a vďaka nemu prístup do zariadenia. Využitím tejto sady zraniteľností dokáže útočník napríklad vytvoriť nový zdieľaný priečinok a nahrať do neho reverzný shell.
Útočník by mohol zneužiť tieto chyby na krádež poverení, prístup k údajom používateľa a vzdialené vykonávanie kódu, čím by získal kontrolu nad zariadením a možnosť vykonávania ďalších útokov.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- vykonávanie ľubovoľného kódu
- vzdialený prístup k súborom používateľa
Odporúčania:
Bezodkladná aktualizácia softvéru na verziu 5.26.119 a novšiu. Zariadeniam, ktoré ešte neboli aktualizované, spoločnosť WD zakázala pripojenie ku službe MyCloud, kým nebudú mať nainštalovanú aktuálnu verziu firmvéru.
Odkazy:
https://nvd.nist.gov/vuln/detail/CVE-2022-29841
https://nvd.nist.gov/vuln/detail/CVE-2022-36331