安全通告（2017年12月简报）

本期安全公告发布2017年12月的病毒威胁、系统漏洞和国内外安全动态等。请用户及时更新杀毒软件病毒库并且访问各厂商站点获取并安装各漏洞的补丁或升级程序。  

关于Intel AMT存在高危漏洞的安全公告

近日，国家信息安全漏洞共享平台（CNVD）收录了Intel AMT存在高危安全漏洞（CNVD-2018-00925）。利用上述漏洞，攻击者可以完全控制目标用户的笔记本电脑。目前，漏洞细节尚未公开。

一、漏洞情况分析

Intel AMT，全称INTEL Active Management Technology(英特尔主动管理技术)，实质上是一种集成在芯片组中的嵌入式系统，独立于特定操作系统。该技术允许管理者远程管理和修复联网的计算机系统，且实施过程对服务对象完全透明。

该漏洞存在于Intel AMT主动管理技术，导致即使采用诸如BIOS密码，BitLocker，TPM Pin或传统防病毒软件等安全措施，该漏洞依然可被利用。综合利用漏洞，攻击者可借助Intel管理引擎BIOS扩展(MEBx)默认密码“admin”功能进行登录，获取系统完全控制权限，窃取数据、还可在设备上部署恶意软件。区别于Meltdown和Spectre，成功利用此漏洞（尚未命名）需要物理访问设备。

漏洞攻击场景如下：

（1）攻击者需要本地对计算机进行操作；

（2）重启上述笔记本电脑，进入启动菜单，通过使用英特尔管理引擎BIOS扩展（MEBx）功能，即默认密码“admin”登录；

（3）修改上述（2）中默认密码，启用远程访问，并将AMT用户选择加入‘无’来有效地破坏机器。此外，有关研究表示，攻击者可将所使用IP插入与目标用户相同的网段进行远程访问。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

该漏洞存在于英特尔（Intel） AMT主动管理技术，针对笔记本电脑产品，尤其搭载英特尔企业级vPro处理器产品。

三、处置措施

目前，Intel厂商还未给出回应，CNVD建议广大用户加强对计算机资产的安全管理，且修改AMT默认密码为高复杂强度密码，或禁用AMT默认密码功能。还可及时关注Intel官网：https://www.intel.com

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2018-00925

https://www.sintonen.fi/advisories/intel-active-management-technology-mebx-bypass.txt

附：漏洞原理相关参考：

1.AMT 登录管理是通过response_length值来进行判断，也即关键代码：

这个标准函数仅比较两个字符串中每一个response_length字节是否相同，加以比较的两个字符串是试图登录所发送的验证响应(user_response)和服务要求的响应(computed_response)。如果两者相符，判断密码准确，该函数返回零，代码继续授予访问权。如果两个字符串不同，该函数返回非零，表示密码错误，拒绝访问。如果提供为空字符串，长度为零，没有字节被检查，故没有字节不同，结果显示，strncmp()返回零，表明验证成功。空的响应字符串被认为有效而被放行，然而实际上是无效的，因此通过修改response的所有值为空，即可绕过验证进行登录。

2.使用Intel AMT 8.0技术远程管理PC

（1）在MBEx中设置AMT；

（2）在PC上使用IntelManagement and Security Status；

（3）在远端使用KVM；

（4）网页远程管理PC。

关于Western Digital My Cloud NAS设备存在高危漏洞的安全公告

近日，国家信息安全漏洞共享平台（CNVD）收录了6起Western Digital My Cloud NAS设备高危漏洞，包括：Western Digital My Cloud NAS设备信息泄露漏洞（CNVD-2018-00399）、Western Digital My Cloud NAS设备拒绝服务漏洞（CNVD-2018-00400）、Western Digital My Cloud NAS设备跨站请求伪造漏洞（CNVD-2018-00402）、Western Digital My Cloud NAS设备命令注入漏洞（CNVD-2018-00401）、Western Digital My Cloud NAS设备无限制文件上传漏洞（CNVD-2018-00403）、Western Digital My Cloud NAS设备硬编码后门漏洞（CNVD-2018-00404）。综合利用上述漏洞，远程攻击者可发起拒绝服务器攻击、远程执行命令、获取My Cloud设备控制权。目前漏洞的修复方案尚未公布。

一、漏洞情况分析

Western Digital My Cloud NAS是一款应用广泛的网络连接云存储设备，可用于托管文件，并自动备份和同步该文件与各种云和基于Web的服务。此外，该设备不仅可让用户共享家庭网络中的文件，而且私有云功能还允许用户随时随地访问该文件数据。

CNVD-2018-00399：攻击者可通过向Web服务器发送一个简单的请求来转储所有用户的列表，包括详细的用户信息，而不需要任何身份验证，如：GET /api/2.1/rest/users? HTTP/1.1

CNVD-2018-00400：该漏洞是由于未经身份验证的用户可为整个存储设备及其所有用户设置全局语言首选项所致，攻击者可能会恶意利用该功能导致Web界面拒绝服务。

CNVD-2018-00402：该漏洞是由于WD My Cloud网页界面中无有效地XSRF保护所致，攻击者可利用任何恶意网站使受害者的网络浏览器连接到网络上的My Cloud设备，诱使目标用户进行访问，获取My Cloud设备控制权。

CNVD-2018-00401：该注入漏洞可能与跨站点请求伪造XSRF漏洞相结合，导致攻击者获得受影响设备的完全控制权（root访问权限）。

CNVD-2018-00403：该漏洞是由于开发人员错误地实现了gethostbyaddr()PHP函数所致，漏洞存在于“multi_uploadify.php”脚本中。攻击者可使用参数Filedata[0]将任意恶意文件上传到互联网易受攻击的存储设备所在的运行服务器，以root身份获得远程shell。

CNVD-2018-00404:该漏洞是由于开发者将管理员用户名“mydlinkBRionyg”和密码“abc12345cba”，硬编码到二进制文件，且无法更改所致。攻击者可利用上述凭证登录到WDMy Cloud设备，注入命令，导致root shell。

CNVD对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

受影响的云端固件版本和型号如下：

MyCloud<=2.30.165

MyCloud Mirror <=2.30.165

受影响的设备型号：

MyCloud Gen 2

MyCloud PR2100

MyCloud PR4100

MyCloud EX2 Ultra

MyCloud EX2

MyCloud EX4

MyCloud EX2100

MyCloud EX4100

MyCloud DL2100

MyCloud DL4100

三、处置措施

目前，厂商暂无详细的解决方案：

https://www.wdc.com/region-selector/splash-region.html

附：参考链接：

https://thehackernews.com/2018/01/western-digital-mycloud.html

POC：

https://dl.packetstormsecurity.net/1801-exploits/GTSA_wdmycloud_backdoor.rb.txt