В популярных устройствах NAS, таких как WD My Book, NetGear Stora, Seagate Home и Medion LifeCloud NAS, обнаружены опасные уязвимости, позволяющие злоумышленникам получить права суперпользователя на устройстве без какого-либо участия пользователя.

Речь идет о двух уязвимостях (CVE-2018-18471 и CVE-2018-18472), обнаруженных исследователями безопасности Паулосом Йибело (Paulos Yibelo) и Даниэлем Эшету (Daniel Eshetu). С их помощью атакующий может повысить свои привилегии на устройстве и читать файлы, добавлять/удалять пользователей, добавлять/модифицировать данные и удаленно выполнять команды.

Первая уязвимость затрагивает web-интерфейс операционной системы Axentra Hipserv, предназначенной для устройств NAS. Проэксплуатировав ее, злоумышленник может читать файлы, осуществлять SSRF-атаки и удаленно выполнять команды.

Вторая уязвимость была обнаружена в WD MyBook Live и некоторых моделях WD MyCloud NAS. Проблема затрагивает функционал смены языков в REST API и позволяет удаленно выполнять команды.

Уязвимости затрагивают порядка 2 млн устройств по всему миру. По состоянию на 19 октября текущего года они оставались неисправленными. Для того чтобы обезопасить уязвимые устройства от возможных кибератак, пользователям рекомендуется отключить их от интернета и использовать только в безопасных локальных сетях.

Источник: securitylab.ru