華芸科技ASUSTOR Data Master預設帳密及RCE破綻,將危害NAS資料
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:733
CVE編號
內文
●概述:
華芸科技(ASUSTOR Inc.)是華碩子公司,自有品牌ASUSTOR意即ASUS Storage,研發NAS及相關韌、硬體、應用程式,其中ASUSTOR Data Master(ADM)係專屬NAS作業系統,呈現類平板圖形化介面,經研究員Kyle Lovett和Matthew Fulton連袂分析,發覺ADM存在多組預設帳密(root/admin),駭客能直接操作phpmyadmin、virtualbox等網頁;另因欠缺輸入字串檢查,script參數被注入OS命令後,移aggrecate_js.cgi呼叫執行;而常見的SQL Injection,亦影響Photo Gallery圖庫樹狀清單介面,亦用參數album_id或scope,可製造隱碼攻擊,研究者已通知華芸上揭漏洞,然未獲回應,迄今官網亦無相關處置聲明,僅釋出新版ADM 3.1.3.RHU2修補單項RCE弱點。
●編註:
(1)多組ADM預設帳密
ASUSTOR NAS整機安裝完畢後,出現一組態網頁,告訴操作者設定完成,該網頁公開給任何人存取,不論有無登入身分,故可藉此機會瀏覽每個add-on程式之路徑,接觸同部NAS上安裝之插件程式,正好網頁檔儲存在 /volume1/Web/ 資料夾,也是phpmyadmin、virtualbox、owncloud、photo-gallery等軟體存放處,加上某些既定帳密組合,讓入侵效率提高不少,既能獲得root身分,載入webshell到設備,亦可獲得NAS內用戶檔案,例如:
http://192.168.1.1/phpmyadmin/ 帳/密 root:admin
http://192.168.1.1/virtualbox/ 帳/密 admin:admin
另外像http://192.168.1.1:8001/portal/ 帳/密 nvradmin:nvradmin,儘管權限低於admin,但也能使用很多個別功能網頁,立足於NAS。
(2)命令注入暨RCE
ADM身為NAS入口,自然是攻擊者最直接的目標,在portal/apis/aggrecate_js.cgi介面程式,缺乏輸入值過濾機制,故script參數被嵌入作業系統命令後,再交由cgi呼叫本機shell腳本,駭客經此步驟扮演root,執行各項OS指令,探勘範例如下:
https://192.168.1.1:8001/portal/apis/aggrecate_js.cgi?script=launcher%22%26ls%20-ltr%26%22
URL經字元轉碼後,成為下列網址並執行
https://192.168.1.1:8001/portal/apis/aggrecate_js.cgi?script=launcher”&ls –ltr&”
(3)SQL Injection
ADM提供Photo Gallery程式,圖庫樹狀清單介面有SQL Injection弱點,循photo-gallery/api/album/tree_lists/此URI,結合參數album_id或scope,可製造隱碼攻擊,探勘方式如後:
sqlmap -u https://
--data="album_id=123456789&start=0&limit=100&order=name_asc&api=v2"
sqlmap -u "https://IP/photo-gallery/api/photo/search/"
--data="keyword=jpg&scope=123456789&start=0&limit=100&order=name_asc&api_mode=browse&api=v2"
影響產品
解決辦法
相關連結
- https://exploit.kitploit.com/2018/08/asustor-adm-310rfq3-remote-command.html
- https://www.exploit-db.com/exploits/45200/
- https://github.com/mefulton/CVE-2018-11510
- https://github.com/mefulton/CVE-2018-11510/blob/master/admex.py
- http://download.asustor.com/download/docs/releasenotes/RN_ADM_3.1.3.RHU2.pdf
- https://www.asustor.com/zh-tw/about/about_asustor
- https://www.asustor.com/admv2?type=1&subject=1&sub=101
- https://blog.csdn.net/pcyph/article/details/45010609
- https://www.cachem.fr/wp-content/uploads/2018/03/adm-31.jpg