Westliches Digital
Sie werden das nicht glauben. Western Digital bestätigt nun, dass es den Authentifizierungscode deaktiviert hat, der den My Book Live-Exploit zum Zurücksetzen auf die Werkseinstellungen letzte Woche hätte verhindern sollen . Schlimmer noch, dieser Code wurde 2011 deaktiviert, um ihn durch etwas Besseres zu ersetzen – Western Digital hat einfach vergessen, den neuen Code einzufügen.
Gehen wir ein wenig zurück. Letzte Woche stellten Benutzer von My Book Live fest, dass ihre mit dem Internet verbundenen Speicherlaufwerke alle ihre Daten verloren hatten. Ein Remote-Reset auf die Werkseinstellungen verursachte diesen Datenverlust.
Analysen von Sicherheitsexperten haben seitdem gezeigt, dass Hacker zwei separate My Book Live-Schwachstellen gleichzeitig ausnutzten; Ein Exploit (mit der Bezeichnung CVE-2018-18472) ließ die Laufwerke für eine vollständige Fernsteuerung offen und wurde zum Aufbau eines Botnetzes verwendet, während ein anderer Exploit es Hackern ermöglichte, Remote-Zurücksetzungen auf die Werkseinstellungen durchzuführen, ohne dass Anmeldeinformationen erforderlich waren.
Diese Sicherheitsexperten stellten fest, dass Western Digital den Authentifizierungscode zum Zurücksetzen auf die Werkseinstellungen absichtlich deaktiviert hatte, was Hacker gezwungen hätte, Anmeldeinformationen für jedes My Book Live-Gerät einzugeben, das sie zu formatieren versuchten. Ein neuer Support-Beitrag von Western Digital bestätigt, dass dieser Code 2011 im Rahmen einer Umgestaltung deaktiviert wurde – im Grunde ein umfassendes Upgrade des zugrunde liegenden Codes. Während diese Umgestaltung in anderen Teilen des My Book Live-Systems korrekt durchgeführt wurde, konnte sie den Authentifizierungscode zum Zurücksetzen auf die Werkseinstellungen nicht ersetzen.
Wir haben festgestellt, dass die Schwachstelle durch nicht authentifiziertes Zurücksetzen auf Werkseinstellungen im April 2011 im Rahmen einer Überarbeitung der Authentifizierungslogik in der Gerätefirmware in das My Book Live eingeführt wurde. Die Umgestaltung zentralisierte die Authentifizierungslogik in einer einzigen Datei, die auf dem Gerät als „includes/component_config.php” vorhanden ist und den für jeden Endpunkt erforderlichen Authentifizierungstyp enthält. In diesem Refactor wurde die Authentifizierungslogik in system_factory_restore.php korrekt deaktiviert, aber der entsprechende Authentifizierungstyp ADMIN_AUTH_LAN_ALL wurde nicht zu component_config.php hinzugefügt, was zu der Schwachstelle führte. Derselbe Refactor hat die Authentifizierungslogik aus anderen Dateien entfernt und den entsprechenden Authentifizierungstyp korrekt zur Datei „component_config.php” hinzugefügt.
Western Digital erläutert im Folgenden einige Details dieses Angriffs. Während Sicherheitsanalysten vermuten, dass ein Hacker die Schwachstelle zum Zurücksetzen auf die Werkseinstellungen ausgenutzt hat, um das wachsende My Book Live-Botnet zu sabotieren (das durch den separaten Exploit CVE-2018-18472 „Remote Control” aktiviert wurde), sagt Western Digital, dass beide Angriffe häufig von a ausgeführt wurden einzelne IP-Adresse Dies deutet darauf hin, dass ein Hacker aus irgendeinem Grund beide Sicherheitslücken ausgenutzt hat.
Während dieses ganzen Durcheinanders haben viele Leute My Book Live-Benutzer beschuldigt, sich Angriffen ausgesetzt zu haben. Schließlich wurden My Book Live-Geräte seit 2015 nicht mehr aktualisiert, also sind sie natürlich unsicher! Aber in Wirklichkeit waren My Book Live-Laufwerke anfällig für das Zurücksetzen auf die Werkseinstellungen und CVE-2018-18472 „Remote Control”-Exploits, lange bevor Western Digital den Software-Support beendete.
Western Digital sagt, dass es My Book Live-Besitzern ab diesem Juli kostenlose Datenwiederherstellungsdienste und ein kostenloses My Cloud-Gerät anbieten wird. Wenn Sie immer noch ein My Book Live-Gerät verwenden, trennen Sie es bitte vom Stromnetz und verwenden Sie es nie wieder.
Quelle: Western Digital