...
🧑 💻 Scriviamo articoli su gadget, computer, auto, giochi e hobby. Recensioni utili sui più interessanti

Western Digital ha rimosso il codice che avrebbe impedito la cancellazione globale di My Book

2

digitale occidentale

Uno sviluppatore Western Digital ha rimosso il codice che avrebbe impedito la pulizia di massa delle unità di archiviazione My Book Live della scorsa settimana, secondo un rapporto di Ars Technica. Un hacker ha sfruttato questa modifica del codice, probabilmente per interrompere un altro hacker che aveva trasformato alcuni dispositivi My Book Live in una botnet.

Le vittime dell’evento di cancellazione globale della scorsa settimana si sono lamentate del fatto che lo strumento di ripristino delle impostazioni di fabbrica sui loro dispositivi My Book Live dovrebbe essere protetto da password. Evidentemente, una volta era così. Ma uno sviluppatore di Western Digital ha modificato lo script PHP system_factory_restore per bloccare tutti i controlli di autenticazione. Per essere chiari, questo sviluppatore non ha eliminato i controlli di autenticazione, ma ha semplicemente aggiunto delle barre prima del codice per impedirne l’esecuzione.

function get($urlPath, $queryParams=null, $ouputFormat='xml'){ // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // } 

In una conversazione con Ars Technica, l’esperto di sicurezza e CEO di Rumble HD Moore ha affermato che "il fornitore che commenta l’autenticazione nell’endpoint di ripristino del sistema non fa sembrare le cose buone per loro… È come se avessero intenzionalmente abilitato il bypass". più schiacciante è il fatto che questo hacker abbia attivato il ripristino delle impostazioni di fabbrica con una richiesta XML, il che richiederebbe una conoscenza preliminare del sistema My Book Live o un’eccezionale congettura.

Ma non è tutto. La maggior parte dei dispositivi colpiti dall’exploit di ripristino delle impostazioni di fabbrica era già stata vittima di un tentativo di hacking. Un recente post sul blog di Western Digital afferma che gli hacker hanno utilizzato CVE-2018-18472, un exploit di tre anni, per ottenere l’accesso amministrativo completo alle unità My Book Live. Questo exploit consente agli hacker di eseguire comandi di alto livello sulle unità e visualizzare o modificare i file.

È interessante notare che l’exploit CVE-2018-18472 è stato protetto da password da un hacker. Western Digital dice che è stato usato per diffondersi. nttpd,1-ppc-be-t1-z, un malware PowerPC che trasforma i dispositivi in ​​una botnet Linux.Ngioweb, fondamentalmente un servizio proxy rotante in grado di nascondere le identità dei criminali informatici o sfruttare gli attacchi DDoS.

Western Digital afferma di non sapere perché gli hacker sfrutterebbero il CVE-2018-18472 e le vulnerabilità di ripristino delle impostazioni di fabbrica back-to-back. Sembra certamente controintuitivo; perché dovresti costruire tranquillamente una botnet solo per creare un enorme scandalo e spingere gli utenti di My Book Live ad acquistare un nuovo dispositivo NAS?

La conclusione di Censys e Ars Technica sembra la più plausibile: un hacker ha eseguito l’exploit di ripristino delle impostazioni di fabbrica per sabotare la crescente botnet. Forse gli hacker sono rivali, anche se tutta questa faccenda potrebbe essere stata una coincidenza. Chissà, forse qualcuno in una chat o in un forum Discord ha annunciato che i dispositivi My Book Live non vengono aggiornati dal 2015, portando due hacker a eseguire attacchi indipendenti nello stesso lasso di tempo.

Se sei un utente di My Book Live, scollega l’unità da Internet e non utilizzarla mai più come dispositivo di archiviazione remoto. I dispositivi NAS più recenti, inclusi quelli di Western Digital, dispongono di funzionalità di sicurezza effettivamente aggiornate.

Fonte: Ars Tecnica

Fonte di registrazione: www.reviewgeek.com

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More