【漏洞预警】华芸科技ASUSTOR ADM操作系统最新高危漏洞预警

2018年8月17日,外网发布华芸科技旗下ASUSTOR ADM(对ASUSTOR NAS进行管理操作)操作系统存在包括sql注入和远程命令执行的多个漏洞。这些漏洞可以使远程攻击者完全获取服务器所存储的数据,并完全控制服务器,并且很有可能利用这些服务器作为跳板来进行接下来的网络攻击。ASUSTOR NAS服务遍布全球上百个国家,其客户包括全球的多个大型公司。包括家乐福,希捷,日立在内的世界五百强,都有可能会受到这次风波的影响。而从地理位置上看,此次SQL注入漏洞主要影响亚洲(中国台湾)和欧美(法国)等地;而远程命令执行主要漏洞中国台湾和中国香港等地。在未来一段时间,该操作系统漏洞预计会对这些地方的网络存储服务造成一定的冲击。

多个全球大型公司都使用ASUSTOR

概况

ASUSTOR Data Master (ADM) 是专属于 ASUSTOR NAS 上的操作系统,具有媲美零学习曲线的类平板图形化接口,而且还提供跨平台档案分享,无论是使用 Windows、Mac 还是 Unix 作业平台,都可以存取。同时还有定时备份和不同存储介质快速转移功能,让所有的 NAS 用户享受最畅快,最安全的数据处理过程。

目前FOFA系统最新数据(一年内数据)显示全球范围内共有32757个ADM对外开放服务。德国使用数量最多,共有6507台,中国台湾第二,共有6321台,法国第三,共有2674台,日本第四,共有2631台,中国香港第五,共有1744台。白帽汇安全研究院抽样检测发现全球存在sql该注入漏洞的比例为百分之6,存在远程命令执行漏洞的比例为百分之1。

全球范围内ASUSTOR ADM分布情况(仅为分布情况,非漏洞影响情况)

中国地区中北京市使用用数量最多,共有18台;广东省第二,共有14台,辽宁省第三,共有13台,上海市第四,共有12台,浙江省第五,共有12台。

中国地区ASUSTOR ADM分布情况(仅为分布情况,非漏洞影响情况)

危害等级

严重

漏洞原理

CVE-2018-11511

ASUSTOR ADM 3.1.0.RFQ3版本中的photo gallery应用程序的tree list功能的albumid和scope参数未能做安全防护,存在SQL注入漏洞。远程攻击者可借助往photo-gallery/api/album/treelists/ URI提供album_id参数来进行SQL注入,从而控制整个服务器:获取数据、修改数据、删除数据等。

某个存在sql注入漏洞的网站注入情况

CVE-2018-11510

ASUSTOR ADM 3.1.0.RFQ3版本中的api管理文件下的portal/apis/aggrecate_js.cgi文件中的sc ript参数由于未作安全防护,使得攻击者可以通过&符号进行命令注入,并且从实际测试来看,注入点均为root权限。这就使得攻击者可以轻松控制整个服务器,并且可以用于钓鱼和作为跳板进行下一步攻击。

某个存在命令执行的网站的漏洞情况,可以发现我们是以root权限执行命令的

漏洞影响

目前漏洞影响版本号包括:

ASUSTOR ADM 3.1.0.RFQ3

漏洞POC

目前FOFA客户端平台已经更新CVE-2018-11511和CVE-2018-11510的检测POC。

CVE-2018-11511 POC截图

CVE-2018-11510 POC截图

漏洞实际影响版本为3.1.0,但以前存在photo gallery图像处理程序的ADM仍有可能受到影响。

CVE编号

CVE-2018-11511  
CVE-2018-11510

修复建议

1、最新版本已不存在漏洞,用户可以关注通过https://www.asustor.com/zh-cn/adm/adm3_1 时刻下载最新版本。

2、通过防火墙等设置限制公网ip对特定目录album的访问,只允许本地访问。

白帽汇会持续对该漏洞进行跟进。后续可以持续关注本链接。

参考

[1] http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201808-506

[2] http://packetstormsecurity.com/files/148919/ASUSTOR-NAS-ADM-3.1.0-Remote-Command-Execution-SQL-Injection.html

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐