Western Digital удалила код, который предотвратил бы глобальное стирание моей книги
Western Digital
Согласно отчету Ars Technica, разработчик Western Digital удалил код, который предотвратил бы массовую очистку накопителей My Book Live на прошлой неделе. Хакер воспользовался этим изменением в коде, чтобы нарушить работу другого хакера, который превратил несколько устройств My Book Live в ботнет.
Жертвы глобального мероприятия по удалению данных на прошлой неделе жаловались, что инструмент сброса настроек на их устройствах My Book Live должен быть защищен паролем. Видно, так было когда-то. Но разработчик Western Digital отредактировал PHP-скрипт system_factory_restore, чтобы заблокировать все проверки аутентификации. Чтобы было ясно, этот разработчик не удалил проверки аутентификации, а просто добавил косую черту перед кодом, чтобы предотвратить его запуск.
function get($urlPath, $queryParams=null, $ouputFormat='xml'){ // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // }
В разговоре с Ars Technica эксперт по безопасности и генеральный директор Rumble HD Мур заявил, что «поставщик, комментирующий аутентификацию в конечной точке восстановления системы, действительно не делает все хорошо для них… Похоже, они намеренно включили обход». Еще более опасным является тот факт, что этот хакер инициировал сброс настроек с помощью XML-запроса, для чего потребовалось бы предварительное знание системы My Book Live или очень хорошая догадка.
Но это не все. Большинство устройств, пораженных эксплойтом сброса к заводским настройкам, уже стали жертвами попыток взлома. В недавнем сообщении в блоге Western Digital говорится, что хакеры использовали эксплойт трехлетней давности CVE-2018-18472, чтобы получить полный административный доступ к накопителям My Book Live. Этот эксплойт позволяет хакерам запускать высокоуровневые команды на дисках и просматривать или изменять файлы.
Интересно, что эксплойт CVE-2018-18472 был защищен паролем хакером. Western Digital говорит, что он использовался для распространения. nttpd,1-ppc-be-t1-z — вредоносная программа для PowerPC, которая превращает устройства в ботнет Linux.Ngioweb — по сути, ротационную прокси-службу, которая может скрывать личности киберпреступников или использовать DDoS-атаки.
Western Digital говорит, что не знает, почему хакеры будут использовать уязвимости CVE-2018-18472 и сброс к заводским настройкам подряд. Это определенно кажется нелогичным; зачем вам потихоньку создавать ботнет только для того, чтобы устроить массовый скандал и подтолкнуть пользователей My Book Live к покупке нового устройства NAS?
Вывод, сделанный Censys и Ars Technica, кажется наиболее правдоподобным: хакер использовал эксплойт сброса к заводским настройкам, чтобы саботировать растущий ботнет. Возможно, хакеры соперники, хотя все это могло быть совпадением. Кто знает, может быть, кто-то в чате или на форуме Discord объявил, что устройства My Book Live не обновлялись с 2015 года, что привело к тому, что два хакера провели независимые атаки в один и тот же период времени.
Если вы являетесь пользователем My Book Live, отключите накопитель от Интернета и никогда больше не используйте его в качестве удаленного запоминающего устройства. Более новые устройства NAS, в том числе от Western Digital, имеют функции безопасности, которые действительно обновлены.
Источник: Арс Техника