【漏洞预警】华芸科技ASUSTOR ADM操作系统最新高危漏洞预警

iso60001 2058天前

2018年8月17日，外网发布华芸科技旗下ASUSTOR ADM（对ASUSTOR NAS进行管理操作）操作系统存在包括sql注入和远程命令执行的多个漏洞。这些漏洞可以使远程攻击者完全获取服务器所存储的数据，并完全控制服务器，并且很有可能利用这些服务器作为跳板来进行接下来的网络攻击。ASUSTOR NAS服务遍布全球上百个国家，其客户包括全球的多个大型公司。包括家乐福，希捷，日立在内的世界五百强，都有可能会受到这次风波的影响。而从地理位置上看，此次SQL注入漏洞主要影响亚洲（中国台湾）和欧美（法国）等地；而远程命令执行主要漏洞中国台湾和中国香港等地。在未来一段时间，该操作系统漏洞预计会对这些地方的网络存储服务造成一定的冲击。

多个全球大型公司都使用ASUSTOR

概况

ASUSTOR Data Master (ADM) 是专属于 ASUSTOR NAS 上的操作系统，具有媲美零学习曲线的类平板图形化接口，而且还提供跨平台档案分享，无论是使用 Windows、Mac 还是 Unix 作业平台，都可以存取。同时还有定时备份和不同存储介质快速转移功能，让所有的 NAS 用户享受最畅快，最安全的数据处理过程。

目前FOFA系统最新数据（一年内数据）显示全球范围内共有32757个ADM对外开放服务。德国使用数量最多，共有6507台，中国台湾第二，共有6321台，法国第三，共有2674台，日本第四，共有2631台，中国香港第五，共有1744台。白帽汇安全研究院抽样检测发现全球存在sql该注入漏洞的比例为百分之6，存在远程命令执行漏洞的比例为百分之1。

全球范围内ASUSTOR ADM分布情况（仅为分布情况，非漏洞影响情况）

中国地区中北京市使用用数量最多，共有18台；广东省第二，共有14台，辽宁省第三，共有13台，上海市第四，共有12台，浙江省第五，共有12台。

中国地区ASUSTOR ADM分布情况（仅为分布情况，非漏洞影响情况）

危害等级

严重

漏洞原理

CVE-2018-11511

ASUSTOR ADM 3.1.0.RFQ3版本中的photo gallery应用程序的tree list功能的albumid和scope参数未能做安全防护，存在SQL注入漏洞。远程攻击者可借助往photo-gallery/api/album/treelists/ URI提供album_id参数来进行SQL注入，从而控制整个服务器：获取数据、修改数据、删除数据等。

某个存在sql注入漏洞的网站注入情况

CVE-2018-11510

ASUSTOR ADM 3.1.0.RFQ3版本中的api管理文件下的portal/apis/aggrecate_js.cgi文件中的sc ript参数由于未作安全防护，使得攻击者可以通过&符号进行命令注入，并且从实际测试来看，注入点均为root权限。这就使得攻击者可以轻松控制整个服务器，并且可以用于钓鱼和作为跳板进行下一步攻击。