WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Phát hiện lỗ hổng nghiêm trọng cho phép thực thi từ xa trong các thiết bị lưu trữ mạng của LG
Một nhà nghiên cứu của VPN Mentor đã công bố chi tiết lỗ hổng thực thi lệnh từ xa trên các thiết bị lưu trữ mạng (NAS) của LG, cho phép kẻ tấn công lạm dụng thiết bị dính lỗ hổng và đánh cắp dữ liệu lưu trữ trên đó. Hiện lỗ hổng này vẫn chưa có bản vá.
Các thiết bị NAS của LG là bộ lưu trữ tệp tin chuyên dụng, được kết nối mạng, cho phép người dùng lưu trữ và chia sẻ dữ liệu với nhiều máy tính. Người dùng được cấp quyền cũng có thể truy cập dữ liệu từ xa qua mạng Internet.
Đây là lỗ hổng tiêm nhiễm lệnh từ xa phát sinh do xác nhận không chính xác tham số mật khẩu trên trang đăng nhập của người dùng có quyền quản trị từ xa, cho phép kẻ tấn công từ xa qua mặt các lệnh hệ thống từ trường mật khẩu.
Kẻ tấn công khai thác lỗ hổng bằng cách ghi một shell đơn giản lên thiết bị dính lỗ hổng có kết nối Internet, sau đó dùng chính shell này dễ dàng thực thi các lệnh. Một trong số đó cho phép chúng tải về cơ sở dữ liệu hoàn chỉnh của các thiết bị NAS, bao gồm email, tên, và mật khẩu MD5 đã băm của người dùng.
Tuy nhiên mật khẩu được bảo vệ bởi tính năng mật mã MD5 lại dễ dàng bị phá vỡ nên kẻ tấn công có thể chiếm quyền truy cập hợp lệ và đánh cắp dữ liệu nhạy cảm của người dùng lưu trữ trên thiết bị dính lỗ hổng.
Trường hợp kẻ tấn công không phá vỡ được mật khẩu, chúng chỉ cần chạy một lệnh khác là thêm tên người dùng mới vào thiết bị, đăng nhập bằng thông tin đăng nhập đó.
Để thêm một tài khoản người dùng mới vào cơ sở dữ liệu, kẻ tấn công cần tạo ra một MD5 hợp lệ.
Các bạn có thể xem video PoC của lỗ hổng này dưới đây:
LG hiện vẫn chưa có bản cập nhật cho lỗ hổng này. Vì vậy người dùng được khuyến cáo không nên truy cập thiết bị của mình qua mạng Internet công cộng và bảo vệ bằng tường lửa, cấu hình chỉ cho phép truy cập đến giao diện web tin tưởng.
Người dùng cũng nên định kỳ rà soát bất kỳ hoạt động bất thường bằng cách kiểm tra tất cả các tài khoản và mật khẩu đã đăng ký trên thiết bị của mình.
Các thiết bị NAS của LG là bộ lưu trữ tệp tin chuyên dụng, được kết nối mạng, cho phép người dùng lưu trữ và chia sẻ dữ liệu với nhiều máy tính. Người dùng được cấp quyền cũng có thể truy cập dữ liệu từ xa qua mạng Internet.
Đây là lỗ hổng tiêm nhiễm lệnh từ xa phát sinh do xác nhận không chính xác tham số mật khẩu trên trang đăng nhập của người dùng có quyền quản trị từ xa, cho phép kẻ tấn công từ xa qua mặt các lệnh hệ thống từ trường mật khẩu.
Kẻ tấn công khai thác lỗ hổng bằng cách ghi một shell đơn giản lên thiết bị dính lỗ hổng có kết nối Internet, sau đó dùng chính shell này dễ dàng thực thi các lệnh. Một trong số đó cho phép chúng tải về cơ sở dữ liệu hoàn chỉnh của các thiết bị NAS, bao gồm email, tên, và mật khẩu MD5 đã băm của người dùng.
Tuy nhiên mật khẩu được bảo vệ bởi tính năng mật mã MD5 lại dễ dàng bị phá vỡ nên kẻ tấn công có thể chiếm quyền truy cập hợp lệ và đánh cắp dữ liệu nhạy cảm của người dùng lưu trữ trên thiết bị dính lỗ hổng.
Trường hợp kẻ tấn công không phá vỡ được mật khẩu, chúng chỉ cần chạy một lệnh khác là thêm tên người dùng mới vào thiết bị, đăng nhập bằng thông tin đăng nhập đó.
Để thêm một tài khoản người dùng mới vào cơ sở dữ liệu, kẻ tấn công cần tạo ra một MD5 hợp lệ.
Các bạn có thể xem video PoC của lỗ hổng này dưới đây:
LG hiện vẫn chưa có bản cập nhật cho lỗ hổng này. Vì vậy người dùng được khuyến cáo không nên truy cập thiết bị của mình qua mạng Internet công cộng và bảo vệ bằng tường lửa, cấu hình chỉ cho phép truy cập đến giao diện web tin tưởng.
Người dùng cũng nên định kỳ rà soát bất kỳ hoạt động bất thường bằng cách kiểm tra tất cả các tài khoản và mật khẩu đã đăng ký trên thiết bị của mình.
Theo The Hacker News