Western Digital вилучив код, який би запобігти глобальному стиранню моєї книги

Western Digital

Згідно зі звітом Ars Technica, розробник Western Digital видалив код, який міг би запобігти масовому стиранню накопичувачів My Book Live минулого тижня. Хакер скористався цією зміною в коді, щоб пошкодити іншого хакера, який перетворив деякі пристрої My Book Live на ботнет.

Жертви глобальної події минулого тижня скаржилися, що інструмент відновлення заводських налаштувань на їхніх пристроях My Book Live має бути захищений паролем. Очевидно, так було колись. Але розробник із Western Digital відредагував PHP-скрипт system_factory_restore, щоб заблокувати всі перевірки автентифікації. Щоб було зрозуміло, цей розробник не видалив перевірки автентифікації, а просто додав похилий риски перед кодом, щоб запобігти його запуску.

function get($urlPath, $queryParams=null, $ouputFormat='xml'){ // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // } 

У розмові з Ars Technica експерт із безпеки та генеральний директор Rumble HD Мур заявив, що «постачальник, який коментує аутентифікацію в кінцевій точці відновлення системи, насправді не робить все добре для них… Це так, ніби вони навмисно ввімкнули обхід». Ще більш прикро, що цей хакер ініціював скидання до заводських налаштувань за допомогою запиту XML, що вимагало б попереднього знання системи My Book Live або надзвичайно хорошого припущення.

Але це ще не все. Більшість пристроїв, уражених експлойтом скидання до заводських налаштувань, уже стали жертвами спроб злому. У нещодавньому блозі Western Digital зазначено, що хакери використали CVE-2018-18472, експлойт трирічної давності, щоб отримати повний адміністративний доступ до дисків My Book Live. Цей експлойт дозволяє хакерам виконувати команди високого рівня на дисках і переглядати або змінювати файли.

Цікаво, що експлойт CVE-2018-18472 був захищений паролем хакером. Western Digital каже, що його використовували для поширення. nttpd,1-ppc-be-t1-z, зловмисне програмне забезпечення PowerPC, яке перетворює пристрої на ботнет Linux.Ngioweb — по суті, ротаційний проксі-сервіс, який може приховувати особисті дані кіберзлочинців або використовувати DDoS-атаки.

Western Digital каже, що не знає, чому хакери будуть використовувати вразливості CVE-2018-18472 і скидання до заводських налаштувань. Це, безумовно, виглядає нелогічним; навіщо вам тихенько створювати ботнет лише для того, щоб створити масштабний скандал і підштовхнути користувачів My Book Live купувати новий пристрій NAS?

Висновок, зроблений Censys і Ars Technica, виглядає найбільш правдоподібним — хакер запустив експлойт скидання до заводських налаштувань, щоб саботувати зростаючий ботнет. Можливо, хакери є суперниками, хоча все це могло бути випадковістю. Хто знає, можливо, хтось у чаті або на форумі Discord повідомив, що пристрої My Book Live не оновлювалися з 2015 року, що змусило двох хакерів здійснити незалежні атаки за один і той же проміжок часу.

Якщо ви користуєтеся My Book Live, будь ласка, від’єднайте свій диск від Інтернету та ніколи більше не використовуйте його як віддалений пристрій зберігання даних. Нові пристрої NAS, у тому числі від Western Digital, мають функції безпеки, які фактично оновлені.

Джерело: Ars Technica