LG网络存储设备中发现关键未修补RCE缺陷

如果您安装了LG Electronics生产的网络连接存储设备，应立即将其取下，仔细阅读本文，然后采取适当措施保护您的敏感数据。

LG的网络连接存储（NAS）设备是一个专用的文件存储单元，连接到一个允许用户与多台计算机存储和共享数据的网络。授权用户还可以通过互联网远程访问其数据。

隐私倡导公司VPN Mentor的研究人员发现了该漏洞，该公司上个月在三个流行VPN中发现了严重缺陷，HotSpot Shield、PureVPN和ZenMate VPN。

LG NAS漏洞是一个预认证的远程命令注入漏洞，其存在原因是对远程管理用户登录页面的“密码”参数进行了不正确的验证，使得远程攻击者能够通过密码字段传递任意系统命令。
正如研究人员在下面的视频中所展示的，攻击者可以利用此漏洞，首先在连接到internet的易受攻击的存储设备上编写一个简单的持久外壳。

使用该外壳，攻击者可以轻松执行更多命令，其中一个命令还可以让他们下载NAS设备的完整数据库，包括用户的电子邮件、用户名和MD5哈希密码。
由于使用MD5加密哈希函数保护的密码很容易被破解，攻击者可以获得授权访问权限，并窃取存储在易受攻击设备上的用户敏感数据。

如果攻击者不想破解窃取的密码，他们可以简单地运行另一个命令，如图所示，向设备添加新用户，并使用该凭据登录以完成任务。
要向数据库添加新用户，攻击者只需生成有效的MD5即可。“我们可以使用附带的MD5工具创建一个带有用户名测试和密码1234的哈希，”研究人员说。

由于LG尚未发布该问题的修复程序，建议LG NAS设备的用户确保其设备无法通过公共互联网访问，并应通过防火墙进行保护，防火墙配置为仅允许一组受信任的IP连接到web界面。

用户还建议定期检查设备上所有注册的用户名和密码，以发现任何可疑活动。