Western Digital odstranil kód, který by zabránil globálnímu vymazání My Book

Western Digital

Vývojář Western Digital odstranil kód, který by minulý týden zabránil hromadnému vymazání úložných jednotek My Book Live, podle zprávy od Ars Technica. Hacker zneužil tuto změnu v kódu a pravděpodobně narušil další hacker, který proměnil některá zařízení My Book Live na botnet.

Oběti celosvětového vymazání z minulého týdne si stěžovaly, že nástroj pro obnovení továrního nastavení na jejich zařízeních My Book Live by měl být chráněn heslem. Evidentně tomu tak kdysi bylo. Ale vývojář z Western Digital upravil PHP skript system_factory_restore, aby zablokoval všechny kontroly ověřování. Aby bylo jasno, tento vývojář neodstranil kontroly autentizace, ale jednoduše přidal lomítka před kód, aby se zabránilo jeho spuštění.

function get($urlPath, $queryParams=null, $ouputFormat="xml"){
// if(!authenticateAsOwner($queryParams))
// {
// header("HTTP/1.0 401 Unauthorized");
// return;
// }

V rozhovoru s Ars Technica, bezpečnostní expert a generální ředitel společnosti Rumble HD Moore uvedl, že „prodejce, který komentuje autentizaci v koncovém bodu obnovení systému, pro ně opravdu nevypadá dobře… Je to, jako by úmyslně povolili obcházení.“ Ještě více zatracující je skutečnost, že tento hacker spustil tovární reset s požadavkem XML, což by vyžadovalo předchozí znalost systému My Book Live nebo mimořádně dobrý odhad.

Ale to není vše. Většina zařízení zasažených exploitem pro obnovení továrního nastavení se již stala obětí pokusu o hacking. Nedávný příspěvek na blogu Western Digital uvádí, že hackeři použili CVE-2018-18472, tři roky starý exploit, k získání plného administrativního přístupu k diskům My Book Live. Tento exploit umožňuje hackerům spouštět příkazy na vysoké úrovni na jednotkách a prohlížet nebo upravovat soubory.

Zajímavé je, že exploit CVE-2018-18472 byl chráněn heslem hackerem. Western Digital tvrdí, že byl použit k šíření .nttpd,1-ppc-be-t1-z, malwaru PowerPC, který ze zařízení dělá botnet Linux.Ngioweb – v podstatě rotující proxy službu, která může skrývat identity kyberzločinců nebo využívat DDoS útoky .

Western Digital říká, že neví, proč by hackeři zneužívali CVE-2018-18472 a tovární reset zranitelností back-to-back. Rozhodně se to zdá kontraintuitivní; proč byste v tichosti budovali botnet, jen abyste vyvolali obrovský skandál a nutili uživatele My Book Live, aby si koupili nové zařízení NAS?

Závěr provedený Censys and Ars Technica se zdá nejpravděpodobnější – hacker spustil zneužití obnovení továrního nastavení, aby sabotoval rostoucí botnet. Možná jsou hackeři rivalové, i když celá tato věc mohla být náhoda. Kdo ví, možná někdo na chatu nebo fóru Discord oznámil, že zařízení My Book Live nebyla od roku 2015 aktualizována, což vedlo dva hackery k nezávislým útokům ve stejném časovém rámci.

Pokud jste uživatelem disku My Book Live, odpojte prosím svůj disk od internetu a již nikdy jej nepoužívejte jako vzdálené úložiště. Novější zařízení NAS, včetně těch od Western Digital, mají bezpečnostní funkce, které jsou skutečně aktuální.

Zdroj: Ars Technica

Leave a Comment