-
ist seit Mitte Dezember bereits gepatcht
Autor: chewbacca0815 06.03.17 - 14:25
Mitte Dezember kamen die aktuellen Firmwares für die My Clouds raus, da ist der Exploit gepatcht worden.
-
Re: ist seit Mitte Dezember bereits gepatcht
Autor: MaX 06.03.17 - 17:11
Einer von zweien, wenn ich es richtig verstanden habe.
Das auch in der aktuellen Version eine veraltete jQuery Version, mit bekannten Sicherheitslücken, könnte man auch mal näher untersuchen. -
Re: ist seit Mitte Dezember bereits gepatcht
Autor: nv1t 07.03.17 - 03:02
eine von zweien? Mal gezaehlt? es sind 83 Root exploits, die Exploiteers veroeffentlich haben ;)
Und nein. sie sind nicht gepatched. Was gepatched wurde, war eine RCE im Login Interface. Der Login kann aber nach wie vor umgangen werden.
Die restlichen 83 moeglichen RCEs sind auch in der Firmware vom 20.12.2016 nicht gefixt. -
Re: ist seit Mitte Dezember bereits gepatcht
Autor: chewbacca0815 07.03.17 - 08:18
nv1t schrieb:
--------------------------------------------------------------------------------
> eine von zweien? Mal gezaehlt? es sind 83 Root exploits, die Exploiteers
> veroeffentlich haben ;)
>
> Und nein. sie sind nicht gepatched. Was gepatched wurde, war eine RCE im
> Login Interface. Der Login kann aber nach wie vor umgangen werden.
>
> Die restlichen 83 moeglichen RCEs sind auch in der Firmware vom 20.12.2016
> nicht gefixt.
Schau mal genau hin in die Zusammenfasung von exploitee:
Bugs Found Statistics
1 x Login Bypass
1 x Arbitrary File Write
13 x Unauthenticated Remote Command Execution Bugs
70 x Authentication Required Command Execution Bugs*
*”Authentication Required” bugs can be reached with the login bypass bug.
Die 83 weiteren sind "Folgefehler" des ersten. Also in sofern keine "weiteren", sondern an die umgangenge Authentifzierung anknüpfende. Mit Admin-Rechten im Interface kommt man eben an Einstellungen ran, die einem Normaluser verwehrt sind, wie Anlegen neuer Shares, Erstellen von Backups oder Einstellungen im System. Ist unschön, aber trivialer Folgerfehler. Der ganze Exploit ist an sich schon eher abstrakt, da er eh nur vom eigenen Netzwerk aus funktioniert. -
Re: ist seit Mitte Dezember bereits gepatcht
Autor: nv1t 07.03.17 - 09:23
Ich kenne den Wiki Artikel und habe ihn auch genau gelesen, und wenn du genau liest, dann beziehen sie sich auf die schon gefixte Firmware.
Es existiert also immer noch ein Authentication Bypass. Ergo: Ungefixt.
Hierbei ist egal, ob es die 70 Bugs Folgefehler sind oder nicht. Sie sind nicht gepatched und selbst wenn der Authentication Bypass gepatched ist, lassen sie sich immer noch ueber eine CSRF ausnutzen, was schlimm genug ist.
Zudem bleiben noch die 13 pre-auth RCEs.
Dazu kommt noch eine CSRF im Admin interface zum Passwort Reset des Admin Users ohne Wissen des alten Passworts, welche im Wiki von Exploiteers nicht veroeffentlich ist. (was aber bei dem Ausmass an Bugs wirklich irrelevant ist)
Ja. Er funktioniert nur vom eigenen Netzwerk aus. Was hindert aber einen Angreifer daran eine Webseite anzulegen mit 255 Bildern, oder Formularen, fuer jede Seite, die genau fuer jede IP in dem Netzwerk den Exploit ausfuehrt. (Stichwort: WebRTC). Das macht es nichtmehr trivial und somit gefaehrlich. -
Re: ist seit Mitte Dezember bereits gepatcht
Autor: nv1t 07.03.17 - 09:24
Ich stimme zu, dass wenn der Authentication Bug gefixt ist UND die 13 pre auth RCEs die Gefahr massiv eingedaemmt ist, weil eben normal User kein Zugriff zum Webinterface haben. Trotzdem ist es unschoen.



