Il y a des jours où je me demande si certains développeurs n'en font pas exprès d'introduire des trous de sécurité ....

Voici un extrait du script de vérification du mot de passe du formulaire d'authentification du NAS.

//Using encrytion password
$in_pw = exec("sudo nas-common md5 $in_pw");

Je vous laisse imaginer les possibilités que permet cette ligne de code, sachant que $in_pw est le mot de passe entré par l'utilisateur.

Quand je vois ça, je me dit qu'il y a vraiment des claques de perdues ... Surtout quand on connait la présence de la commande "md5" en php.

Voici un exploit qui fonctionne sur mon NAS :

lg nas exploit n2r1

Cela permet de rendre accessible la base de données sqlite contenant l'ensemble des comptes, directement en accès HTTP au niveau du répertoire http://ip-du-nas/run/ Un simple sqlite browser permet ensuite de consulter les données contenues dans le fichier share.db.

Si vous avez un NAS LG N2R1, je vous conseille donc de fermer son accès depuis le Web dès aujourd'hui.

Merci à Vincent de m'avoir mis sur la piste de la parenthèse ;-)

  • Clone carte RFID Mifare

    Hacking : Comment cloner une carte RFID ?

    Les cartes RFID Mifare 1K possèdent deux protections principales : Le block 0 est en lecture seule, seul le constructeur de la carte peut initialiser ce block. Les données écrites sur les cartes sont encryptées. Il existe cependant des solutions pour outrepasser ces protections et permettre de créer des copies exactes. Cet article détaille la procédure pour cloner une carte RFID Mifare 1k sous Linux.

  • Tutoriel Backtrack 5 : Comment cracker un réseau Wifi protégé avec du WPA

    Voici un tutoriel intéressant sur les outils de bruteforce WPA mis à disposition dans la distribution Linux Backtrack 5.

1. Le , 00:09 par Tux-planet
f2aa7790d2be3cb2a70f5ebd294124fc

Un NAS de ce type, c'est plus fait pour être sur un réseau local non ? Faut être fou pour l'ouvrir sur le web ?

2. Le , 00:14 par Max
e9cba53842aefaa4b4b0460dd1343d8d

Même si c'est pour du local, c'est assez incroyable de voir ça... Surtout que, comme dit dans l'article, il est parfaitement possible de faire du hash md5 directement en php

3. Le , 00:17 par mroubaud
f89e05b08d6db991ca0ffd0ab2c76332

J'allais dire la même chose; même si LG pousse à le rendre public (ddns, upnp..) et que c'est bien pratique, c'est un petit NAS; J'ai un N1T1 qui arrive et il est hors de question qu'il soit accessible.
Bon, scan des dns lgnas.com lol?

4. Le , 00:23 par Ludovic
9ab09dd3e305f924f8930e20e1a35843

Le NAS contient un mécanisme de type dyndns facilitant l'accès depuis le Web. Beaucoup de personnes rendent accessible leur NAS depuis le Web sans trop se poser de questions malheureusement .. Et moi le premier ...

http://www.geeek.org/post/maman-je-...

5. Le , 00:51 par mroubaud
f89e05b08d6db991ca0ffd0ab2c76332

bé Ludo!? A noter qu'il y a quand même quelques mises à jour du firmware disponibles chez LG, qu'il y a aussi un firmware modifié chez Tantalus et que c'est un firmware basé sur une Debian, donc à priori customisable à fond....
C'est vrai que c'est assez sadique, le Nas gère l'Upnp et peut donc ouvrir tout seul les bons ports sur une freebox pour être accessible depuis internet (ftp, webdav etc) ; LG met aussi à disposition un dyndns like (monnas.lgnas.com) pour simplifier les choses....

6. Le , 01:39 par mini
29217b67c792f4ee26823cbd7e21e1cc

Bon ben à défaut d'avoir sécurisé mon NAS avec un meilleur mot de passe avec des caractères spéciaux en vue de le mettre sur le net, j'ai trouvé de quoi m'amuser :
---
C:\Users\Vincent\Desktop\TMP\lg-nas>php exec.php "192.168.0.100:8000" "uname -a"
Linux LG-NAS 2.6.22.18 #4 Tue Nov 23 18:45:21 KST 2010 armv5tejl unknown
---

7. Le , 07:03 par Geekbay
630e781bc21a3d6f8ce1ae9df7156737

Ca m'a l'air difficilement exploitable reelement car il faudrait changer le mot de passe a distance et j imagine que pour arriver sur l ecran qe tu montre il faut connaitre ton mdp.
Peut etre en CSRF ca serait faisable mais sinon je vois pas pourquoi il faudrait fermer l acces web

8. Le , 07:30 par Intrepidd
0a09bc0cd01b0bfd4d2fea1863138267

Geekbay : si dans ton mot de passe tu mets : 'toto || rm -fr /" , tu supprimes tout sur le disque dur.

Typiquement tu peux executer n'importe quelle commande en root via cette faille, tu peux TOUT faire.

9. Le , 07:36 par Intrepidd
0a09bc0cd01b0bfd4d2fea1863138267

Edit : Pour pouvoir executer des commandes arbitrairement tu n'as pas besoin de changer de mot de passe, c'est dans le champ mot de passe à la connexion que la vulnérabilité se trouve.

10. Le , 09:12 par Ludovic
00517735187ed585e9c37a4b7a4c9c41

Pour les mots de passe il suffit de faire du reverse les les mots de passe encryptés en md5 de la base de données sqlite.

il est aussi possible de deployer un backdoor php ou de lancer un remote shell avec la commande netcat.

11. Le , 10:08 par vlmath
32aa95a474c984d41d395e2d0b614aa2

Pour faire appel à un fichier compilé comme ça, il doit forcement y avoir une raison cachée, genre salt, pas vraiment du MD5 ou autre, ce n'est pas possible autrement d'être si boulet que ça ...

On ne fait jamais appel à une fonction système dans uns script ... !!!

12. Le , 11:22 par chaced
4e919a36541926fa56545a4b435f6950

en plus il existe des fonctions dédiées de protection des appels commande, comme escapeshellcmd ou escapeshellarg...

13. Le , 20:42 par spawnrider
f7bf66fa0d9fc0532a323f47a5c3ba95

Magnifique cette faille !!!

14. Le , 22:46 par Ludovic
9ab09dd3e305f924f8930e20e1a35843

La commande md5 est en fait un alias vers :
echo $1| md5sum | cut -d " " -f 1

15. Le , 11:00 par gstr
fdd988306964ab31b2f4be71ee214f58

C'est moi où ya pas de > dans la commande cp normalement ?

16. Le , 11:57 par vlmath
32aa95a474c984d41d395e2d0b614aa2

@gstr : En effet ...

17. Le , 14:10 par Ludovic
9ab09dd3e305f924f8930e20e1a35843

@gstr : C'est une erreur volontaire contre les scriptkiddies :-)

18. Le , 06:36 par Geekbay
01db41386becbff662df96b099505d3b

@intrepidd Ah oui effectivement, j'avais pas suivi que c'etais a l'authentification que la commande etais execute. La effectivement ya pas le choix faut ferme.

19. Le , 19:37 par walid
48b356956ac72ac3ba87dcc307be9897

Bonjour,
j'aimerais savoir quelle sont les avantages d'installer le firmware modifié de Tantalus et si vous même vous l'avez installé?
merci

20. Le , 12:10 par LG Nas
4d5f8e7cd60c600a02d1ee2a87afd1f8

Le firmware 2.0 du Nas est il aussi sensible a cette faille ?

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.