2018年8月17日,外网发布华芸科技旗下ASUSTOR ADM(对ASUSTOR NAS进行管理操作)操作系统存在包括sql注入和远程命令执行的多个漏洞。这些漏洞可以使远程攻击者完全获取服务器所存储的数据,并完全控制服务器,并且很有可能利用这些服务器作为跳板来进行接下来的网络攻击。ASUSTOR NAS服务遍布全球上百个国家,其客户包括全球的多个大型公司。包括家乐福,希捷,日立在内的世界五百强,都有可能会受到这次风波的影响。而从地理位置上看,此次SQL注入漏洞主要影响亚洲(中国台湾)和欧美(法国)等地;而远程命令执行主要漏洞中国台湾和中国香港等地。在未来一段时间,该操作系统漏洞预计会对这些地方的网络存储服务造成一定的冲击。
多个全球大型公司都使用ASUSTOR
概况
ASUSTOR Data Master (ADM) 是专属于 ASUSTOR NAS 上的操作系统,具有媲美零学习曲线的类平板图形化接口,而且还提供跨平台档案分享,无论是使用 Windows、Mac 还是 Unix 作业平台,都可以存取。同时还有定时备份和不同存储介质快速转移功能,让所有的 NAS 用户享受最畅快,最安全的数据处理过程。
目前FOFA系统最新数据(一年内数据)显示全球范围内共有32757个ADM对外开放服务。德国使用数量最多,共有6507台,中国台湾第二,共有6321台,法国第三,共有2674台,日本第四,共有2631台,中国香港第五,共有1744台。白帽汇安全研究院抽样检测发现全球存在sql该注入漏洞的比例为百分之6,存在远程命令执行漏洞的比例为百分之1。
全球范围内ASUSTOR ADM分布情况(仅为分布情况,非漏洞影响情况)
中国地区中北京市使用用数量最多,共有18台;广东省第二,共有14台,辽宁省第三,共有13台,上海市第四,共有12台,浙江省第五,共有12台。
中国地区ASUSTOR ADM分布情况(仅为分布情况,非漏洞影响情况)
危害等级
严重
漏洞原理
CVE-2018-11511
ASUSTOR ADM 3.1.0.RFQ3版本中的photo gallery应用程序的tree list功能的albumid和scope参数未能做安全防护,存在SQL注入漏洞。远程攻击者可借助往photo-gallery/api/album/treelists/ URI提供album_id参数来进行SQL注入,从而控制整个服务器:获取数据、修改数据、删除数据等。
某个存在sql注入漏洞的网站注入情况
CVE-2018-11510
ASUSTOR ADM 3.1.0.RFQ3版本中的api管理文件下的portal/apis/aggrecate_js.cgi文件中的sc ript参数由于未作安全防护,使得攻击者可以通过&符号进行命令注入,并且从实际测试来看,注入点均为root权限。这就使得攻击者可以轻松控制整个服务器,并且可以用于钓鱼和作为跳板进行下一步攻击。
某个存在命令执行的网站的漏洞情况,可以发现我们是以root权限执行命令的
漏洞影响
目前漏洞影响版本号包括:
ASUSTOR ADM 3.1.0.RFQ3
漏洞POC
目前FOFA客户端平台已经更新CVE-2018-11511和CVE-2018-11510的检测POC。
CVE-2018-11511 POC截图
CVE-2018-11510 POC截图
漏洞实际影响版本为3.1.0,但以前存在photo gallery图像处理程序的ADM仍有可能受到影响。
CVE编号
CVE-2018-11511
CVE-2018-11510
修复建议
1、最新版本已不存在漏洞,用户可以关注通过https://www.asustor.com/zh-cn/adm/adm3_1 时刻下载最新版本。
2、通过防火墙等设置限制公网ip对特定目录album的访问,只允许本地访问。
白帽汇会持续对该漏洞进行跟进。后续可以持续关注本链接。
参考
[1] http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201808-506
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。