Western Digital diz que pretendia adicionar código para impedir o hack do meu livro ao vivo, mas esqueceu

Last updated Nov 18, 2022

Western Digital

Você não vai acreditar nisso. A Western Digital agora confirma que desativou o código de autenticação que deveria ter impedido a exploração de redefinição de fábrica do My Book Live da semana passada. O que é pior, esse código foi desativado em 2011 com a intenção de substituí-lo por algo melhor – a Western Digital simplesmente esqueceu de colar o novo código.

Vamos retroceder um pouco. Na semana passada, os usuários do My Book Live descobriram que suas unidades de armazenamento conectadas à Internet haviam perdido todos os seus dados. Uma redefinição de fábrica, acionada remotamente, causou essa perda de dados.

Análises feitas por especialistas em segurança desde então mostraram que os hackers estavam explorando duas vulnerabilidades separadas do My Book Live ao mesmo tempo; um exploit (chamado CVE-2018-18472) deixou as unidades abertas para controle remoto completo e foi usado para construir uma botnet, enquanto outro exploit permitiu que hackers executassem redefinições de fábrica remotas sem a necessidade de credenciais de login.

Esses especialistas em segurança descobriram que a Western Digital desativou intencionalmente o código de autenticação de redefinição de fábrica, o que forçaria os hackers a inserir informações de login para cada dispositivo My Book Live que eles tentassem formatar. Uma nova postagem de suporte da Western Digital confirma que esse código foi desativado em 2011 como parte de uma refatoração — basicamente uma atualização em larga escala do código subjacente. Embora essa refatoração tenha sido executada corretamente em outras partes do sistema My Book Live, ela não substituiu o código de autenticação de redefinição de fábrica.

Determinamos que a vulnerabilidade de redefinição de fábrica não autenticada foi introduzida no My Book Live em abril de 2011 como parte de uma refatoração da lógica de autenticação no firmware do dispositivo. A refatoração centralizou a lógica de autenticação em um único arquivo, que está presente no dispositivo como includes/component_config.php e contém o tipo de autenticação exigido por cada endpoint. Nesta refatoração, a lógica de autenticação em system_factory_restore.php foi desabilitada corretamente, mas o tipo de autenticação apropriado de ADMIN_AUTH_LAN_ALL não foi adicionado a component_config.php, resultando na vulnerabilidade. A mesma refatoração removeu a lógica de autenticação de outros arquivos e adicionou corretamente o tipo de autenticação apropriado ao arquivo component_config.php.

A Western Digital continua esclarecendo alguns detalhes desse ataque. Enquanto os analistas de segurança sugerem que um hacker explorou a vulnerabilidade de redefinição de fábrica para sabotar a crescente botnet My Book Live (que foi habilitada pela exploração separada de “controle remoto" CVE-2018-18472), a Western Digital diz que ambos os ataques foram frequentemente executados a partir de um único endereço IP. Isso sugere que um hacker tirou vantagem de ambas as vulnerabilidades, por algum motivo.

Ao longo de toda essa confusão, muitas pessoas culparam os usuários do My Book Live por se deixarem vulneráveis a ataques. Afinal, os dispositivos My Book Live não são atualizados desde 2015, então, é claro, eles não são seguros! Mas, na realidade, as unidades My Book Live eram vulneráveis à redefinição de fábrica e às explorações de “controle remoto” CVE-2018-18472 muito antes de a Western Digital encerrar o suporte de software.

A Western Digital diz que oferecerá serviços gratuitos de recuperação de dados e um dispositivo My Cloud gratuito para proprietários do My Book Live a partir de julho deste ano. Se você ainda estiver usando um dispositivo My Book Live, desconecte-o e nunca mais o use.

Fonte: Western Digital

Fonte de gravação: www.reviewgeek.com