Злоумышленники могут получить доступ и похитить данные, хранящиеся на устройстве.
ИБ-исследователи из VerSprite обнаружили две уязвимости в разработанном компанией Western Digital NAS-продукте My Cloud. Эксплуатация брешей позволяет удаленно и локально получить доступ с правами суперпользователя к устройству. Уязвимостям подвержены My Cloud NAS-устройства 04.01.03-421 и 04.01.04-422 и, возможно, более ранние версии. Разработчики WD уже работают над устранением брешей.
Устройство WD My Cloud представляет собой сетевое хранилище, доступ к которому можно получить как с девайса, использующего ту же сеть, так и удаленно со смартфона. Пользователи могут взаимодействовать с NAS-устройством с помощью административного пользовательского интерфейса или приложения, использующего RESTful API.
Одна из уязвимостей позволяет удаленно осуществлять инъекцию команды. «Когда пользователь с правами администратора настраивает устройство, он может добавить пользователей, настроить их доступ к папкам, ограничить или предоставить доступ к девайсу и файлам», - отмечают исследователи. Удаленный доступ, как правило, осуществляется с помощью клиентского приложения для Windows, Mac, Android или iPhone.
Эксперты выяснили, что любой авторизованный злоумышленник может удаленно выполнять команды и похищать файлы, принадлежащие другим пользователям, злоупотребляя функционалом RESTful API и клиентским приложением. Хакер также способен получить доступ с правами суперпользователя к NAS-устройству, подключенному к личной внутренней сети. Проблема заключается не в клиентском приложении, а в RESTful API, который не избавляется от имен файлов, что позволяет злоумышленникам внедрить в них вредоносную команду. Проэксплуатировать уязвимость может только атакующий, у которого есть авторизованный доступ к устройству. Хакер предположительно даже через Сеть может разместить папку с вредоносными исполняемыми файлами в находящейся в локальной сети папке «Public», которую можно найти с помощью внедренных в имена файлов вредоносных команд.
Вторая уязвимость влияет на web-приложение устройства. Программа не различает подлинный и поддельный HTTP-запрос, что позволяет злоумышленникам осуществить межсайтовую подмену запроса. «Эксплуатируя обе уязвимости, хакеры предположительно могут удаленно получить доступ к данным на устройстве и похитить их», - отмечают эксперты. «Для успешной реализации атаки злоумышленники должны иметь действительные cookie-файлы сессии и данные о внутреннем IP-адресе устройства», - добавили специалисты.
Автор: Александр Антипов
От классики до авангарда — наука во всех жанрах