Código removido da Western Digital que teria impedido a limpeza global do meu livro

Western Digital

Um desenvolvedor da Western Digital removeu o código que teria impedido a limpeza em massa das unidades de armazenamento My Book Live na semana passada, de acordo com um relatório da Ars Technica. Um hacker explorou essa mudança no código, provavelmente para atrapalhar outro hacker que transformou alguns dispositivos My Book Live em uma botnet.

As vítimas do evento de limpeza global da semana passada reclamaram que a ferramenta de redefinição de fábrica em seus dispositivos My Book Live deveria ser protegida por senha. Evidentemente, já foi assim. Mas um desenvolvedor da Western Digital editou o script PHP system_factory_restore para bloquear todas as verificações de autenticação. Para ser claro, esse desenvolvedor não excluiu as verificações de autenticação, mas simplesmente adicionou marcas de barra antes do código para impedir que ele fosse executado.

function get($urlPath, $queryParams=null, $ouputFormat='xml'){ // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // } 

Em uma conversa com a Ars Technica, o especialista em segurança e CEO da Rumble HD Moore afirmou que “o fornecedor comentando a autenticação no endpoint de restauração do sistema realmente não faz com que as coisas pareçam boas para eles … mais condenável é o fato de que esse hacker acionou redefinições de fábrica com uma solicitação XML, o que exigiria conhecimento prévio do sistema My Book Live ou suposições extremamente boas.

Mas isso não é tudo. A maioria dos dispositivos atingidos pelo exploit de redefinição de fábrica já havia sido vítima de uma tentativa de hacking. Uma postagem recente no blog da Western Digital afirma que os hackers usaram o CVE-2018-18472, uma exploração de três anos, para obter acesso administrativo total às unidades My Book Live. Essa exploração permite que hackers executem comandos de alto nível em unidades e visualizem ou modifiquem arquivos.

Curiosamente, o exploit CVE-2018-18472 foi protegido por senha por um hacker. A Western Digital diz que foi usado para espalhar. nttpd,1-ppc-be-t1-z, um malware PowerPC que transforma dispositivos em um botnet Linux.Ngioweb —basicamente um serviço de proxy rotativo que pode ocultar identidades de criminosos cibernéticos ou alavancar ataques DDoS.

A Western Digital diz que não sabe por que os hackers explorariam as vulnerabilidades CVE-2018-18472 e de redefinição de fábrica consecutivamente. Certamente parece contra-intuitivo; por que você silenciosamente construiria uma botnet apenas para criar um grande escândalo e forçar os usuários do My Book Live a comprar um novo dispositivo NAS?

A conclusão feita pela Censys e pela Ars Technica parece a mais plausível – um hacker executou o exploit de reset de fábrica para sabotar a botnet em crescimento. Talvez os hackers sejam rivais, embora tudo isso possa ter sido uma coincidência. Quem sabe, talvez alguém em um bate-papo ou fórum do Discord tenha anunciado que os dispositivos My Book Live não são atualizados desde 2015, levando dois hackers a executar ataques independentes no mesmo período.

Se você for um usuário do My Book Live, desconecte sua unidade da Internet e nunca mais a use como um dispositivo de armazenamento remoto. Os dispositivos NAS mais recentes, incluindo os da Western Digital, têm recursos de segurança realmente atualizados.

Fonte: Ars Technica