据国内多家媒体报道,绿联NAS产品存在严重安全问题,此前该产品在上市之初还曾遭遇了下架风波。
据B站UP主发现,绿联NAS系统控制面板中提供的两个域名的通配符证书,*.ugnas.cloud 和 *.ugnas.com,存在泄露用户私密数据的风险。对此绿联官方作出回应,称此问题仅存在于UGOS PRO体验账号中,并未在正式用户的设备上使用。
由于该事件在安全圈内引发热烈的讨论,接下来咱们就来梳理一下。
绿联NAS安全问题到底有多严重?
=================================
这里先简单介绍一下,什么是NAS。
NAS 即 Network Attached Storage,网络附属存储。NAS 是一种文件级存储架构,可使存储的数据更易于网络设备访问,是三种主要存储架构之一。NAS 的作用就好像一个塞了很多硬盘的电脑,里面有文件服务器和管理软件,专用于储存、共享文件。连到自己的网上,你就可以搭建自己的「网盘」了。
该事件起因是哔哩哔哩 UP 主 @某摆烂闲鱼 发布的一条视频,指出绿联NAS存在严重的安全问题,可能会导致用户信息泄露。在视频里可以看到,绿联 NAS 在其系统控制面板中向用户提供 *.ugnas.cloud 和 *.ugnas.com 两个域名的通配符证书。如下图所示:
图片来源:蓝点网
但问题是,绿联竟然向所有用户公开了TLS 证书和私钥,用户只需要下载即可。
搞安全的同学看到这应该已经有点挠头了,有了证书和私钥,人人都可以部署恶意软件进行劫持,用户数据几乎没有任何安全性可言。最典型的莫过于发起 MiTM 中间人攻击来窃取账号和密码等敏感数据。
该消息公布之后引起安全人的广泛讨论。有人猜测绿联最初目的应该是为了方便用户使用,提高产品体验。
众所周知,通配符证书可以保护一个主域及其下一级的多个子域,且在提供安全保护的时候节省管理时间。通配符证书可以涵盖所有的子域名,相较于为每个子域名单独购买证书,购买一张通配符证书可以直接解决。验证了通配符证书之后,如果后续需要新增同级的子域名,无需重新审核,也不用额外付费,直接就可以扩展,非常方便。
但万万不该将私钥也全部面向用户公开下载,这岂不是人人都有一把防盗门的钥匙,即便防盗门再坚固也无任何作用。
据蓝点网报道,B站UP主把绿联 NAS 证书导入服务器进行中间人劫持测试,结果显示,测试结果有效,会对用户造成明显影响。在视频中,UP主成功劫持了自己的服务器,这就相当于遭受了DNS污染,将绿联NAS指向了恶意服务器。如果被别有用心的人利用,攻击是完全有可能实现的,用户会因此泄漏数据。具体如下所示:
图片来源:蓝点网
绿联NAS这波操作属实是有点迷,将证书和私钥全部公开给用户,不仅自身产品存在安全风险,同时也将绿联 NAS 用户置于风险之中。值得一提的是,由于上述问题并非一个严格意义上的安全漏洞,目前该证书风险点已经被封,因此不会引发后续的安全问题。
绿联官方回应
=======================
对于B站UP主揭露的问题,绿联官方也进行回应,称此问题仅存在于UGOS PRO体验账号中,并未在正式用户的设备上使用。
绿联表示,已定位到该问题属于体验账号,正式用户设备上没有这个证书,也不会用到这个证书和私钥,对正式用户不会有任何影响。
同时已经吊销该体验账号的证书,并称绿联 NAS 私有云团队非常重视并以力求保障用户数据安全,感谢对绿联 NAS 私有云的支持。
2024年 5 月,绿联科技推出了 NAS 私有云 DXP 系列九款新品,同时还带来了全新自研 NAS 系统 UGOS Pro,但新系统首发没有达到预期,存在部分 Bug 需要时间来修复,例如部分产品 CPU 温度显示异常与负载过高、部分用户账号注册异常等。
参考资料:
https://baijiahao.baidu.com/s?id=1803874989838291782&wfr=spider&for=pc
https://mp.weixin.qq.com/s/jlBvhAC4ZFRtXbGooEVHrQ
原文来源:FreeBuf
“投稿联系方式:010-82992251 sunzhonghao@cert.org.cn”
