导语:近日,安全研究人员发现,攻击者可以通过远程利用未修复的指令注入漏洞,来控制由LG公司制造的NAS(Network Attached Storage)网络存储设备。

微信截图_20180421131019.png

如果您已经安装了由LG公司制造的NAS网络连接存储设备,请立即关闭它,并仔细阅读本文,然后采取适当的措施来保护自己的敏感数据。因为近日,安全研究人员发现,攻击者可以通过远程利用未修复的指令注入漏洞,来控制由LG公司制造的NAS(Network Attached Storage)网络存储设备。

LG NAS设备是连接到网络的专用文件存储单元,允许用户使用多台计算机存储和共享数据。此外,授权用户还可以通过互联网来远程访问这些数据。

据悉,发现该漏洞的隐私倡导公司VPN Mentor在上个月还发现了存在于HotSpot Shield、PureVPN和Zenmate三款流行VPN应用程序中的安全漏洞,这些漏洞会泄露用户的真实IP地址和其他敏感数据。

此次,该公司的VPN专家发现,许多LG NAS机型均受到无需身份验证即可被利用的关键远程命令执行漏洞影响,从而危及LG NAS存储设备中存储的用户数据安全。

据该公司研究人员介绍称,登录页面中的密码参数容易受到远程命令注入漏洞的影响。攻击者可以滥用此参数来执行任意命令,包括添加新用户帐户以及转储包含现有用户名和密码的数据库。

添加新的用户名和相关的密码散列允许攻击者以授权用户的身份登录管理界面,并访问存储在设备上的任何文件。

研究人员解释称,攻击者可以利用此漏洞首先在连接到互联网的易受攻击的存储设备上编写简单的持久性shell。通过使用该shell,攻击者可以轻松地执行更多的命令,其中一个命令还可以允许他们转储NAS设备的完整数据库,其中包含用户的电子邮件、用户名以及MD5散列密码。

由于使用MD5加密散列函数保护的密码很容易被破解,因此攻击者可以获得授权访问并窃取存储在目标设备上的敏感数据。

如果攻击者不想花时间破解窃取到的MD5散列密码,他们还可以简单地运行另一个命令(如下所示),将新建用户添加到目标设备中,并使用该凭证进行登录以完成数据窃取工作。

微信截图_20180421131037.png

要向数据库添加新用户,攻击者需要做的就是生成一个有效的MD5。研究人员称,我们可以使用包含其中的MD5工具来创建一个包含用户名测试和密码1234的散列表。

vpnMentor在接受采访时表示,

利用这个漏洞的攻击可以同时从本地网络和互联网上发起。

该公司表示,很难确定有多少设备容易受到来自互联网的攻击,但它估计大约有5万台。

目前,vpnMentor公司已经随机测试了大部分的LG NAS设备型号,并且发现它们都十分脆弱。该公司表示,

LG在其所有NAS产品中使用两种类型的固件,其中一种会受此漏洞的影响。

据悉,vpnMentor公司研究人员已经向LG公司告知了有关该漏洞的信息,但是截至目前,vpnMentor声称并未收到来自LG公司技术人员的任何回应,而且该公司也没有要修复该漏洞的迹象。而对于该问题,LG目前也没有给出任何回应。

由于LG公司尚未发布针对该漏洞的修复程序,我们建议LG NAS设备的用户应该确保自己的设备无法通过公共互联网访问,并应该使用防火墙对其进行保护,该防火墙应配置为只允许一组可信的IP连接到网络界面。此外,还建议用户可以通过检查设备上的所有注册用户名和密码来定期查看任何可疑活动。

事实上,这并不是研究人员首次发现在LG NAS产品中存在严重的漏洞。几年前,总部位于匈牙利的SEARCH-LAB公司就曾对LG公司生产的N1A1产品进行过分析,并发现了可能被用于获取管理员权限的多个安全漏洞。

利用该漏洞的概念证明(PoC)代码和视频:https://youtu.be/7RgCq5d13qk

源链接

Hacking more

...