Western digital
Du kommer inte att tro det här. Western Digital bekräftar nu att den har inaktiverat autentiseringskoden som borde ha förhindrat förra veckans My Book Live fabriksåterställning. Vad värre är, den här koden inaktiverades 2011 med avsikten att ersätta den med något bättre — Western Digital glömde helt enkelt att klistra in den nya koden.
Låt oss backa lite. Förra veckan upptäckte My Book Live-användare att deras internetanslutna lagringsenheter hade förlorat all data. En fabriksåterställning, utlöst på distans, orsakade denna dataförlust.
Analyser av säkerhetsexperter har sedan dess visat att hackare utnyttjade två separata My Book Live-sårbarheter samtidigt; en exploatering (kallad CVE-2018-18472) lämnade diskarna öppna för fullständig fjärrkontroll och användes för att bygga ett botnät, medan en annan exploatering gjorde det möjligt för hackare att utföra fjärråterställning av fabrik utan behov av inloggningsuppgifter.
Dessa säkerhetsexperter fann att Western Digital avsiktligt hade inaktiverat autentiseringskoden för fabriksåterställning, vilket skulle ha tvingat hackare att ange inloggningsinformation för varje My Book Live-enhet de försökte formatera. Ett nytt supportinlägg från Western Digital bekräftar att den här koden inaktiverades 2011 som en del av en refactor—i princip en storskalig uppgradering till underliggande kod. Även om denna refactor utfördes korrekt i andra delar av My Book Live-systemet, misslyckades den med att ersätta den fabriksåterställda autentiseringskoden.
Vi har fastställt att sårbarheten för oautentiserad fabriksåterställning introducerades till My Book Live i april 2011 som en del av en refaktor för autentiseringslogik i enhetens fasta programvara. Refactor centraliserade autentiseringslogiken till en enda fil, som finns på enheten som include/component_config.php och innehåller den autentiseringstyp som krävs av varje slutpunkt. I denna refactor var autentiseringslogiken i system_factory_restore.php korrekt inaktiverad, men lämplig autentiseringstyp ADMIN_AUTH_LAN_ALL lades inte till i component_config.php, vilket resulterade i sårbarheten. Samma refactor tog bort autentiseringslogik från andra filer och lade till korrekt autentiseringstyp till filen component_config.php.
Western Digital fortsätter med att klargöra några detaljer om denna attack. Medan säkerhetsanalytiker antyder att en hackare utnyttjade fabriksåterställningssårbarheten för att sabotera det växande My Book Live-botnätet (som aktiverades av den separata CVE-2018-18472 "fjärrkontroll"), säger Western Digital att båda attackerna ofta utfördes från en enda IP-adress. Detta tyder på att en hackare utnyttjade båda sårbarheterna av någon anledning.
Under hela den här röran har många människor anklagat My Book Live-användare för att de lämnat sig själva öppna för attacker. När allt kommer omkring har My Book Live-enheter inte uppdaterats sedan 2015, så de är naturligtvis osäkra! Men i verkligheten var My Book Live-enheter sårbara för fabriksåterställningen och CVE-2018-18472 "fjärrkontroll"-exploater långt innan Western Digital avslutade programvarustödet.
Western Digital säger att de kommer att erbjuda gratis dataåterställningstjänster och en gratis My Cloud-enhet till My Book Live-ägare från och med juli. Om du fortfarande använder en My Book Live-enhet, koppla ur den och använd den aldrig igen.
Källa: Western Digital