상세 컨텐츠

본문 제목

Western Digital 그룹의 "My Cloud" 디바이스에서 제로데이 취약점 발견!

국내외 보안동향

by 알약(Alyac) 2018. 1. 9. 14:44

본문

Western Digital 그룹의 WDMyCloud는 전 세계에서 가장 유명한 NAS중 하나로, 개인과 기업에서 자동백업, 여러 클라우드 및 웹서비스와 동기화 등에 사용됩니다. 사용자들은 가정 네트워크 내에서 공유폴더로 사용할 뿐만 아니라, 언제 어디서나 데이터에 접근도 가능합니다. 


하지만 최근 GulfTech 보안그룹은, WDMyCloud디바이스에서 하드코딩 되어있는 백도어와 여러개의 취약점을 발견했다고 밝혔습니다. 이 취약점들은 원격에서 권한이 없는 상황에서 민감한 파일들의 업/다운로드를 허용할 수 있습니다. 


여기서 주의해야할 점은, 해당 보안연구원이 이미 작년 6월에 해당 문제에 대하여 Western Digital그룹에 제보하였지만, 현재(1월 3일)까지 취약점을 패치하지 않고 있다는 점입니다. 원칙적으로는 취약점을 제보 받은 90일 이내에 패치를 진행해야 합니다. 이에 GulfTech 보안그룹은 취약점에 대한 상세내용을 공개하였습니다. 



파일에 제한없이 원격에서 업로드 가능한 취약점


해당 취약점은 원격에서 공격자가 임의 파일을 업로드 후 해당 디바이스상에서 실행시킬 수 있는 취약점입니다. 이 취약점은  “multi_uploadify.php” 스크립트에 존재하는데, 원인은 개발자의 실수로 gethostbyaddr() PHP 함수를 실행함으로서 발생합니다. 


해당 취약점은 매우 쉽게 악용할 수 있습니다. 공격자는 파라미터 Filedata[0]가 포함된 업로드된 문서를 POST Request로 요구합니다. Filedata[0]은 파일이 업로드 되어있는 위치를 알려주며, "folder" 파라미터 및 가상 "Host"헤더를 통해 구체적인 위치를 알려줍니다. 


연구원들은 또한 해당 취약점을 악용할 수 있는 Metasploit 모듈을 개발하였으며, 또한 "이 [metaspoploit] 모듈은 PHP webshell을 ‘/var/www/’으로 업로드 할 수 있다. 또한 업로드 완료 후에는 백도어의 URI에 request를 보내 webshell을 실행하고 

 이를 통해 payload를 트리거 합니다"



하드코딩된 백도어를 이용한 원격제어 취약점


연구원들은 또한 디바이스에 하드코딩된 백도어가 존재하는 것을 확인하였습니다. 이 백도어 사용자 명은  “mydlinkBRionyg” 이며, 비밀번호는  “abc12345cba”로 설정되어 있으며, 수정이 불가능합니다. 그렇기 때문에 누구든지 해당 계정을 이용하여 WD My Cloud에 접근할 수 있으며, 명령을 통해 root shell을 획득할 수 있습니다. 


보안연구원이 말하길, 공격자들은 사용자가 방문하는 웹사이트에 iframe이나 img 태그를 인젝션 시켜놓고, WDMyCloud를 통해서 추측가증한 호스트 이름 예를들어  “wdmycloud” 혹은 “wdmycloudmirror” 등을 통해 손쉽게 공격타겟에 request를 보낼 수 있다. 



MyCloud의 또 다른 취약점들


위에 언급한 두가지 심각한 취약점 이외에, 연구원들은 또 다른 취약점들을 공개하였습니다. 


CSRF

WD My Cloud web API중에는 CSRF에 대한 보안조치가 되어있지 않아, 사용자가 악성사이트에 방문하는 것 만으로도 사용자의 Mu Cloud디바이스가 제어당할 수 있습니다. 


명령어 인젝션

2017년 3월, Exploitee.rs 의 연구원은 WD My Cloud 디바이스에서 여러개의 명령어 인젝션 취약점이 존재하는것을 확인하였습니다. 이 취약점들은 CSFR등의 공격과 결합하면 매우 손쇱게 사용자의 디바이스를 장악할 수 있습니다. 


서비스 거부 취약점

보안연구원들은 또한 임의의 인증받지 않은 사용자가 전체 디바이스 및 모든 사용자의 언어설정을 변경할 수 있으며, 이 기능을 이용하여 web api로 메세지를 보내 서비스 거부를 발생시킬 수 있다고 밝혔습니다. 



공격자들은 Web서버에 간단한 request, 예를들어 GET /api/2.1/rest/users? HTTP/1.1  request만 보내면 어떠한 인증 없이도 사용자의 상세정보를 유출시킬 수도 있습니다. 



영향받는 버전


My Cloud 와 My Cloud Mirror 펌웨어 2.30.165 버전 및 이전 버전



영향받는 모델명


My Cloud Gen 2

My Cloud PR2100

My Cloud PR4100

My Cloud EX2 Ultra

My Cloud EX2

My Cloud EX4

My Cloud EX2100

My Cloud EX4100

My Cloud DL2100

My Cloud DL4100



해결방법


최신 버전으로 업데이트




출처 :

https://thehackernews.com/2018/01/western-digital-mycloud.html

관련글 더보기

댓글 영역