回看板
Disp BBS
作者 phoque (法式海豹)
標題 Re: [閒聊] 知名 NAS 系統藏後門
時間 Sat Apr 20 20:21:41 2024

影片我看了一下
雖然標題沒有提到EOL
但是影片裡反向工程的部分還是有點出一些問題

大概有三個點:
1. 系統上有一個無密碼使用者messagebus
2. 可以透過HTTP request以此使用者的名義在機器上執行命令
3. 系統重新開機會檢查messagebus使用者是否存在 若否則建立 若密碼被設定則清空

這些code還有稍微被obfuscated
反正我覺得是惡意植入的
解法是不要讓機器暴露在Internet上
或是乾脆別用了


--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 103.197.174.121 (臺灣)
※ 作者: phoque 2024-04-20 20:21:41
※ 文章代碼(AID): #1c8xDOF7 (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1713615704.A.3C7.html
※ 同主題文章:
[閒聊] 知名 NAS 系統藏後門
04-20 14:15 q00153
Re: [閒聊] 知名 NAS 系統藏後門
04-20 19:14 hirokofan
Re: [閒聊] 知名 NAS 系統藏後門
04-20 20:21 phoque
labbat: 應該不是,都能提升權限執行指令不會只這我的假設是原廠就是這麼做的1F 180.177.2.153 台灣 04/20 20:55
guanting886: 那些東西會被混淆大概是部門主管要求,而兜那套系統的RD可能為了趕專案進度沒考慮太多用了有問題處理方式。這在十幾年前不是很稀奇,不過看了DLINK的反應後真心覺得還好沒買過他家的NAS
或許EOL不維護真的沒問題,但是爛Code可以重複沿用,DLINK該擔心的是還有多少產品是當年那個團隊的人開發的
然後後面的工程師趕進度拿過去複製使用3F 42.78.196.251 台灣 04/20 21:17
phoque: 原來在當年不是很稀奇 那確實合理 受教了15F 103.197.174.121 台灣 04/20 21:28
hirokofan: 當年一堆IOT設備都有預設密碼的問題16F 114.40.213.31 台灣 04/20 21:36
ariadne: 一直都有超級密碼的後門 不ey17F 27.242.224.225 台灣 04/20 21:39
Cubelia: 有一說一,Q被嘴翻但翻一下十幾年前
的NAS在今年初都還有QTS4.2.6補漏洞
DSM6從2015 beta到2024十月EOL也有九年最慘的大概就WD Mybook在2021那波18F 111.255.48.131 台灣 04/20 21:52
jakkx: 簡單說態度就在那。眼光放亮點22F 203.73.245.211 台灣 04/20 22:00
Cubelia: 直接清空資料,比勒索還狠23F 111.255.48.131 台灣 04/20 22:00
oppoR20: 畢竟qnap synology都專做nas的 做到算應該吧 其他家就完全不期待了24F 223.138.51.71 台灣 04/20 22:03
Cubelia: 預算夠最好還是買x86系的NAS,有辦法
魔改的話就直接上Linux26F 111.255.48.131 台灣 04/20 22:03
honmayan: code哪有obfuscated, 直接放在init
script給你看. 這可以算造謠了吧28F 66.42.33.36 日本 04/20 23:14
guanting886: source code 做obfuscate 為保護商業機密稀鬆平常
然後樓上說的那是 shell  跟影片逆向的程式又不是同一種東西30F 42.78.196.251 台灣 04/20 23:34
hikkiqoo: 買牌子的不意外34F 101.12.25.85 台灣 04/21 02:07
dustlike: NAS好歹是Q的核心產品不可能棄之不顧,Dlink我查了一下早就沒有再出NAS產品,大概是產品線砍了才敢如此擺爛35F 42.71.2.48 台灣 04/21 10:14

--
作者 phoque 的最新發文: