Western Digital eliminó el código que habría impedido el borrado global de mi libro

Occidente digital

Un desarrollador de Western Digital eliminó el código que habría impedido el borrado masivo de las unidades de almacenamiento My Book Live de la semana pasada, según un informe de Ars Technica. Un pirata informático aprovechó este cambio en el código, probablemente para interrumpir a otro pirata informático que había convertido algunos dispositivos My Book Live en una botnet.

Las víctimas del evento de limpieza global de la semana pasada se quejaron de que la herramienta de restablecimiento de fábrica en sus dispositivos My Book Live debería estar protegida con contraseña. Evidentemente, ese fue una vez el caso. Pero un desarrollador de Western Digital editó el script PHP system_factory_restore para bloquear todas las comprobaciones de autenticación. Para ser claros, este desarrollador no eliminó las comprobaciones de autenticación, sino que simplemente agregó marcas de barra delante del código para evitar que se ejecute.

function get($urlPath, $queryParams=null, $ouputFormat='xml'){ // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // } 

En una conversación con Ars Technica, el experto en seguridad y director ejecutivo de Rumble HD Moore afirmó que "el proveedor que comenta la autenticación en el punto final de restauración del sistema realmente no hace que las cosas se vean bien para ellos… Es como si hubieran habilitado la omisión intencionalmente". más condenatorio es el hecho de que este pirata informático activó restablecimientos de fábrica con una solicitud XML, lo que requeriría un conocimiento previo del sistema My Book Live o unas conjeturas extraordinariamente buenas.

Pero eso no es todo. La mayoría de los dispositivos afectados por el exploit de restablecimiento de fábrica ya habían sido víctimas de un intento de piratería. Una publicación reciente del blog de Western Digital afirma que los piratas informáticos utilizaron CVE-2018-18472, un exploit de tres años, para obtener acceso administrativo completo a las unidades My Book Live. Este exploit permite a los hackers ejecutar comandos de alto nivel en unidades y ver o modificar archivos.

Curiosamente, el exploit CVE-2018-18472 estaba protegido con contraseña por un hacker. Western Digital dice que se utilizó para difundir. nttpd,1-ppc-be-t1-z, un malware PowerPC que convierte los dispositivos en una red de bots Linux.Ngioweb, básicamente un servicio de proxy rotativo que puede ocultar las identidades de los ciberdelincuentes o aprovechar los ataques DDoS.

Western Digital dice que no sabe por qué los piratas informáticos explotarían el CVE-2018-18472 y las vulnerabilidades de restablecimiento de fábrica de forma consecutiva. Ciertamente parece contrario a la intuición; ¿Por qué construiría discretamente una botnet solo para crear un escándalo masivo y empujar a los usuarios de My Book Live a comprar un nuevo dispositivo NAS?

La conclusión de Censys y Ars Technica parece la más plausible: un pirata informático ejecutó el exploit de restablecimiento de fábrica para sabotear la creciente red de bots. Tal vez los hackers sean rivales, aunque todo esto pudo haber sido una coincidencia. Quién sabe, tal vez alguien en un chat o foro de Discord anunció que los dispositivos My Book Live no se han actualizado desde 2015, lo que llevó a dos piratas informáticos a ejecutar ataques independientes en el mismo período de tiempo.

Si es usuario de My Book Live, desconecte la unidad de Internet y nunca más la use como dispositivo de almacenamiento remoto. Los dispositivos NAS más nuevos, incluidos los de Western Digital, tienen características de seguridad que están realmente actualizadas.

Fuente: Ars Technica