Western Digital
Ви не повірите цьому. Зараз Western Digital підтверджує, що він вимкнув код аутентифікації, який повинен був запобігти минулого тижня скидання заводських налаштувань My Book Live. Найгірше те, що цей код був вимкнений у 2011 році з наміром замінити його на щось краще — Western Digital просто забув вставити новий код.
Давайте трохи повернемося назад. Минулого тижня користувачі My Book Live виявили, що їхні підключені до Інтернету накопичувачі втратили всі свої дані. Скидання до заводських налаштувань, запущене віддалено, спричинило втрату даних.
Аналіз, проведений експертами з безпеки, показав, що хакери одночасно використовували дві окремі уразливості My Book Live ; один експлойт (так званий CVE-2018-18472) залишав диски відкритими для повного віддаленого керування та використовувався для створення ботнету, тоді як інший експлойт дозволяв хакерам виконувати віддалені заводські налаштування без необхідності введення облікових даних.
Ці експерти з безпеки виявили, що Western Digital навмисно відключив код аутентифікації для скидання до заводських налаштувань, що змусило б хакерів вводити дані для входу для кожного пристрою My Book Live, який вони намагалися відформатувати. Новий пост підтримки від Western Digital підтверджує, що цей код був вимкнений у 2011 році як частина рефакторингу — по суті, широкомасштабного оновлення базового коду. Хоча цей рефакторинг був правильно виконаний в інших частинах системи My Book Live, йому не вдалося замінити код аутентифікації скидання до заводських налаштувань.
Ми визначили, що вразливість неавтентифікованого скидання до заводських налаштувань була представлена в My Book Live у квітні 2011 року як частина реорганізації логіки аутентифікації у мікропрограмі пристрою. Рефакторинг централізував логіку аутентифікації в один файл, який присутній на пристрої як include/component_config.php і містить тип аутентифікації, необхідний для кожної кінцевої точки. У цьому рефакторі логіка аутентифікації в system_factory_restore.php була правильно вимкнена, але відповідний тип аутентифікації ADMIN_AUTH_LAN_ALL не був доданий до component_config.php, що призвело до виникнення вразливості. Той самий рефакторинг видалив логіку аутентифікації з інших файлів і правильно додав відповідний тип аутентифікації до файлу component_config.php.
Western Digital уточнює деякі деталі цієї атаки. Хоча аналітики з безпеки припускають, що хакер використав уразливість скидання до заводських налаштувань, щоб саботувати зростаючий ботнет My Book Live (який був увімкнений за допомогою окремого експлойту CVE-2018-18472 «дистанційне керування»), Western Digital каже, що обидві атаки часто виконувались із одна IP-адреса. Це говорить про те, що один хакер чомусь скористався обома вразливими місцями.
Протягом усієї цієї халепи багато людей звинувачують користувачів My Book Live в тому, що вони залишають себе відкритими для атак. Зрештою, пристрої My Book Live не оновлювалися з 2015 року, тому, звісно, вони небезпечні! Але насправді диски My Book Live були вразливі до скидання до заводських налаштувань і експлойтів «дистанційного керування» CVE-2018-18472 задовго до того, як Western Digital припинила підтримку програмного забезпечення.
Western Digital каже, що з липня цього року власникам My Book Live запропонує безкоштовні послуги відновлення даних і безкоштовний пристрій My Cloud. Якщо ви все ще користуєтеся пристроєм My Book Live, відключіть його та ніколи не використовуйте його знову.
Джерело: Western Digital