西部数据发布 My Cloud OS 固件更新,修复了漏洞猎人在 2021年Pwn2Own黑客大赛中用于实现远程代码执行的漏洞 (CVE-2022-23121)。该漏洞当时由 NCC Group EDG团队成员利用攻陷西部数据My Cloud PR4100 设备且获得4万美元的奖励,它位于My Cloud OS 中包含的开源服务 “Netatalk Service”中。
该漏洞的CVSSv3 评分是9.8,可导致远程攻击者在无需认证的情况下,在目标设备(WD PR4100 NAS)上执行任意代码。ZDI 发布安全公告指出,“该漏洞位于 parse_entries 功能中,是因为在解析 AppleDouble 条目时缺少对错误处理造成的。攻击者可利用该漏洞在root上下文中执行代码。”
漏洞位于开源的 Netatalk 服务中
Netatalk 是一款免费开源的苹果文件协议 (AFP) 实现,可允许Unix 类操作系统作为 macOS 客户端的文件服务。
西部数据公司在2018年12月发布的某些NAS 设备使用的 Netatalk 服务版本是一个常见的半废弃开源项目,当时含有其它已知的可利用漏洞。更糟糕的是,西部数据 PR4100 默认具有公开的AFP分享,黑客无需任何认证即可获取。NCC Group EDG 团队当时使用该公开分享触及多个认证后句柄,加速并更轻松地破解了设备。
Pwn2Own 大赛结束后,Netatalk 开发团队发布版本 3.1.13 版本修复了这些漏洞。除了CVE-2022-23121 外,Netatalk 服务还修复了其它漏洞,其中某些漏洞也是CVSS 评分为9.8的RCE漏洞。
因此,建议使用Netatalk 开源工具的所有软件开发人员安装最新版本。
西部数据弃用 Netatalk
西部数据公司在固件更新版本 5.19.117 中将 Netatalk 完全从 My Cloud OS 中删除,因此建议 WD NAS 设备更新至该版本或后续版本。
如下设备均使用了可被利用的 Netatalk 服务,因此均易受攻击:
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX 4100
My Cloud Mirror Gen 2
My Cloud EX2100
My Cloud DL2100
My Cloud DL4100
升级至最新固件版本后,虽然Netatalk 服务将不再可用,但仍可通过SMB继续访问网络共享。具体支持可见:https://support-en.wd.com/app/answers/detail/a_id/32003/
漏洞技术详情可见:https://research.nccgroup.com/2022/03/24/remote-code-execution-on-western-digital-pr4100-nas-cve-2022-23121/
原文链接
https://www.bleepingcomputer.com/news/security/western-digital-my-cloud-os-update-fixes-critical-vulnerability/
声明:本文来自代码卫士,版权归作者所有。
