Western Digital
Według raportu firmy Ars Technica, deweloper z Western Digital usunął kod, który mógłby zapobiec masowemu wymazywaniu pamięci dysków My Book Live w zeszłym tygodniu. Haker wykorzystał tę zmianę w kodzie, prawdopodobnie zakłócając działanie innego hakera, który przekształcił niektóre urządzenia My Book Live w botnet.
Ofiary globalnego wymazywania danych z zeszłego tygodnia skarżyły się, że narzędzie do przywracania ustawień fabrycznych na ich urządzeniach My Book Live powinno być chronione hasłem. Ewidentnie tak było kiedyś. Ale programista z Western Digital zmodyfikował skrypt PHP system_factory_restore, aby zablokować wszystkie kontrole uwierzytelniania. Aby było jasne, ten programista nie usunął weryfikacji uwierzytelniania, ale po prostu dodał ukośniki przed kodem, aby zapobiec jego uruchomieniu.
function get($urlPath, $queryParams=null, $ouputFormat='xml'){ // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // }
W rozmowie z Ars Technica, ekspert ds. bezpieczeństwa i dyrektor generalny Rumble HD Moore stwierdził, że „sprzedawca komentujący uwierzytelnianie w punkcie końcowym przywracania systemu naprawdę nie sprawia, że wszystko wygląda dobrze… To tak, jakby celowo włączył obejście". bardziej obciążający jest fakt, że ten haker wywołał przywracanie ustawień fabrycznych za pomocą żądania XML, co wymagałoby wcześniejszej znajomości systemu My Book Live lub wyjątkowo dobrego zgadywania.
Ale to nie wszystko. Większość urządzeń dotkniętych exploitem przywracania ustawień fabrycznych padła już ofiarą próby włamania. Niedawny post na blogu Western Digital stwierdza, że hakerzy wykorzystali CVE-2018-18472, trzyletni exploit, aby uzyskać pełny dostęp administracyjny do dysków My Book Live. Ten exploit umożliwia hakerom uruchamianie poleceń wysokiego poziomu na dyskach oraz przeglądanie i modyfikowanie plików.
Co ciekawe, exploit CVE-2018-18472 był chroniony hasłem przez hakera. Western Digital twierdzi, że był używany do rozprzestrzeniania się. nttpd,1-ppc-be-t1-z, złośliwe oprogramowanie PowerPC, które przekształca urządzenia w botnet Linux.Ngioweb — w zasadzie rotacyjną usługę proxy, która może ukrywać tożsamość cyberprzestępców lub wykorzystywać ataki DDoS.
Western Digital twierdzi, że nie wie, dlaczego hakerzy mieliby wykorzystywać luki w zabezpieczeniach CVE-2018-18472 i przywracania ustawień fabrycznych. Z pewnością wydaje się to sprzeczne z intuicją; dlaczego miałbyś po cichu zbudować botnet tylko po to, by wywołać ogromny skandal i zmusić użytkowników My Book Live do zakupu nowego urządzenia NAS?
Wniosek Censys i Ars Technica wydaje się najbardziej prawdopodobny — haker uruchomił exploita przywracania ustawień fabrycznych, aby sabotować rosnący botnet. Może hakerzy są rywalami, chociaż to wszystko mogło być zbiegiem okoliczności. Kto wie, może ktoś na czacie lub forum Discorda ogłosił, że urządzenia My Book Live nie były aktualizowane od 2015 roku, co skłoniło dwóch hakerów do przeprowadzenia niezależnych ataków w tym samym czasie.
Jeśli jesteś użytkownikiem My Book Live, odłącz dysk od Internetu i nigdy więcej nie używaj go jako zdalnego urządzenia pamięci masowej. Nowsze urządzenia NAS, w tym te firmy Western Digital, mają obecnie aktualne funkcje zabezpieczeń.
Źródło: Ars Technica