Westliches Digital
Laut einem Bericht von Ars Technica hat ein Entwickler von Western Digital Code entfernt, der letzte Woche die Massenlöschung von My Book Live-Speicherlaufwerken verhindert hätte. Ein Hacker nutzte diese Codeänderung aus und störte wahrscheinlich einen anderen Hacker, der einige My Book Live-Geräte in ein Botnet verwandelt hatte.
Opfer des globalen Löschereignisses der letzten Woche beschwerten sich darüber, dass das Tool zum Zurücksetzen auf die Werkseinstellungen auf ihren My Book Live-Geräten passwortgeschützt sein sollte. Offenbar war das einmal so. Aber ein Entwickler bei Western Digital hat das PHP-Skript system_factory_restore bearbeitet, um alle Authentifizierungsprüfungen zu blockieren. Um es klar zu sagen, dieser Entwickler hat die Authentifizierungsprüfungen nicht gelöscht, sondern einfach Schrägstriche vor den Code gesetzt, um zu verhindern, dass er ausgeführt wird.
function get($urlPath, $queryParams=null, $ouputFormat='xml'){ // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // }
In einem Gespräch mit Ars Technica erklärte der Sicherheitsexperte und CEO von Rumble HD Moore, dass „der Anbieter, der die Authentifizierung im Endpunkt der Systemwiederherstellung kommentiert, die Dinge wirklich nicht gut für ihn aussehen lässt … Es ist, als hätten sie die Umgehung absichtlich aktiviert.” Sogar Noch schlimmer ist die Tatsache, dass dieser Hacker das Zurücksetzen auf die Werkseinstellungen mit einer XML-Anfrage auslöste, was Vorkenntnisse über das My Book Live-System oder außergewöhnlich gutes Raten erfordern würde.
Aber das ist nicht alles. Die meisten Geräte, die vom Factory-Reset-Exploit betroffen waren, waren bereits Opfer eines Hacking-Versuchs geworden. In einem kürzlich erschienenen Blogbeitrag von Western Digital heißt es, dass Hacker CVE-2018-18472, einen drei Jahre alten Exploit, verwendet haben, um vollen Administratorzugriff auf My Book Live-Laufwerke zu erhalten. Dieser Exploit ermöglicht es Hackern, High-Level-Befehle auf Laufwerken auszuführen und Dateien anzuzeigen oder zu ändern.
Interessanterweise wurde der Exploit CVE-2018-18472 von einem Hacker passwortgeschützt. Western Digital sagt, dass es zur Verbreitung verwendet wurde. nttpd,1-ppc-be-t1-z, eine PowerPC-Malware, die Geräte in ein Linux.Ngioweb -Botnet verwandelt – im Grunde ein rotierender Proxy-Dienst, der die Identität von Cyberkriminellen verbergen oder DDoS-Angriffe nutzen kann.
Western Digital sagt, dass es nicht wisse, warum Hacker die Schwachstellen CVE-2018-18472 ausnutzen und die Schwachstellen auf Werkseinstellungen zurücksetzen würden. Es scheint sicherlich kontraintuitiv zu sein; Warum sollten Sie stillschweigend ein Botnetz aufbauen, nur um einen massiven Skandal zu verursachen und My Book Live-Benutzer dazu zu drängen, ein neues NAS-Gerät zu kaufen?
Die Schlussfolgerung von Censys und Ars Technica scheint am plausibelsten – ein Hacker hat den Werksreset-Exploit ausgeführt, um das wachsende Botnet zu sabotieren. Vielleicht sind die Hacker Rivalen, obwohl das Ganze ein Zufall gewesen sein könnte. Wer weiß, vielleicht hat jemand in einem Discord-Chat oder -Forum bekannt gegeben, dass My Book Live-Geräte seit 2015 nicht mehr aktualisiert wurden, was dazu führte, dass zwei Hacker innerhalb desselben Zeitraums unabhängige Angriffe durchführten.
Wenn Sie ein My Book Live-Benutzer sind, trennen Sie Ihr Laufwerk bitte vom Internet und verwenden Sie es nie wieder als Remote-Speichergerät. Neuere NAS-Geräte, auch die von Western Digital, verfügen über Sicherheitsfunktionen, die tatsächlich auf dem neuesten Stand sind.
Quelle: Ars Technica