Western Digital заявила, что хотела добавить код для предотвращения взлома My Book Live, но забыла

Последнее обновление Ноя 18, 2022

Western Digital

Вы не поверите этому. Western Digital теперь подтверждает, что она отключила код аутентификации, который должен был предотвратить эксплойт сброса настроек My Book Live на прошлой неделе. Что еще хуже, этот код был отключен в 2011 году с намерением заменить его чем-то лучшим — Western Digital просто забыла вставить новый код.

Давайте немного отступим. На прошлой неделе пользователи My Book Live обнаружили, что их накопители, подключенные к Интернету, потеряли все свои данные. Сброс к заводским настройкам, запущенный удаленно, вызвал эту потерю данных.

С тех пор анализ, проведенный экспертами по безопасности, показал, что хакеры одновременно использовали две отдельные уязвимости My Book Live ; один эксплойт (названный CVE-2018-18472) оставлял диски открытыми для полного удаленного управления и использовался для создания ботнета, а другой эксплойт позволял хакерам выполнять удаленный сброс настроек без необходимости каких-либо учетных данных для входа.

Эти эксперты по безопасности обнаружили, что Western Digital намеренно отключила код аутентификации сброса настроек, что вынуждало бы хакеров вводить данные для входа в систему для каждого устройства My Book Live, которое они пытались отформатировать. Новое сообщение службы поддержки от Western Digital подтверждает, что этот код был отключен в 2011 году в рамках рефакторинга — по сути, широкомасштабного обновления базового кода. Хотя этот рефакторинг был правильно выполнен в других частях системы My Book Live, он не смог заменить код проверки подлинности для сброса к заводским настройкам.

Мы определили, что уязвимость сброса настроек без проверки подлинности появилась в My Book Live в апреле 2011 года как часть рефакторинга логики аутентификации в прошивке устройства. Рефакторинг централизовал логику аутентификации в один файл, который присутствует на устройстве как include/component_config.php и содержит тип аутентификации, требуемый каждой конечной точкой. В этом рефакторинге логика аутентификации в system_factory_restore.php была правильно отключена, но соответствующий тип аутентификации ADMIN_AUTH_LAN_ALL не был добавлен в component_config.php, что привело к уязвимости. Тот же рефакторинг удалил логику аутентификации из других файлов и корректно добавил соответствующий тип аутентификации в файл component_config.php.

Далее Western Digital разъясняет некоторые детали этой атаки. В то время как аналитики безопасности предполагают, что хакер использовал уязвимость сброса к заводским настройкам, чтобы саботировать растущую ботнет My Book Live (который был активирован отдельным эксплойтом CVE-2018-18472 «удаленного управления»), Western Digital заявляет, что обе атаки часто выполнялись из один IP-адрес, что говорит о том, что один хакер по какой-то причине воспользовался обеими уязвимостями.

На протяжении всей этой неразберихи многие люди обвиняли пользователей My Book Live в том, что они оставляют себя открытыми для атак. Ведь устройства My Book Live не обновлялись с 2015 года, так что, конечно же, они небезопасны! Но на самом деле накопители My Book Live были уязвимы для заводского сброса и эксплойтов CVE-2018-18472 «удаленного управления» задолго до того, как Western Digital прекратила поддержку программного обеспечения.

Western Digital заявляет, что с июля этого года будет предлагать бесплатные услуги по восстановлению данных и бесплатное устройство My Cloud для владельцев My Book Live. Если вы все еще используете устройство My Book Live, отключите его от сети и никогда больше не используйте.

Источник: Вестерн Диджитал

Источник записи: www.reviewgeek.com