< p>Ein Western Digital-Entwickler hat laut einem Bericht von Ars Technica Code entfernt, der die Massenlöschung von My Book Live-Speicherlaufwerken letzte Woche verhindert hätte. Ein Hacker nutzte diese Codeänderung aus, um wahrscheinlich einen anderen Hacker zu stören, der einige My Book Live-Geräte in ein Botnet verwandelt hatte.
Opfer des globalen Löschereignisses der letzten Woche beschwerten sich, dass das Tool zum Zurücksetzen auf die Werkseinstellungen auf ihren My Book Live-Geräten passwortgeschützt sein sollte. Offenbar war das einmal so. Aber ein Entwickler bei Western Digital hat das PHP-Skript system_factory_restore bearbeitet, um alle Authentifizierungsprüfungen zu blockieren. Um es klarzustellen, dieser Entwickler hat die Authentifizierungsprüfungen nicht gelöscht, sondern einfach Schrägstriche vor dem Code hinzugefügt, um die Ausführung zu verhindern.
function get($urlPath, $queryParams=null, $ouputFormat=' xml'){
//if(!authenticateAsOwner($queryParams))
//{
//header(“HTTP/1.0 401 Unauthorized”);
//return ;
//}
In einem Gespräch mit Ars Technica erklärte der Sicherheitsexperte und CEO von Rumble HD Moore, dass “dass der Anbieter, der die Authentifizierung im Endpunkt der Systemwiederherstellung auskommentiert, die Dinge wirklich nicht gut aussehen lässt … Es ist, als hätten sie die Umgehung absichtlich aktiviert.” Noch schlimmer ist die Tatsache, dass dieser Hacker mit einer XML-Anfrage Factory-Resets auslöste, die Vorkenntnisse des My Book Live-Systems oder hervorragend gute Vermutungen erfordern würden.
Aber das ist noch nicht alles. Die meisten der vom Exploit zum Zurücksetzen auf die Werkseinstellungen betroffenen Geräte waren bereits einem Hacking-Versuch zum Opfer gefallen. In einem kürzlich erschienenen Blogbeitrag von Western Digital heißt es, dass Hacker CVE-2018-18472, einen drei Jahre alten Exploit, verwendet haben, um vollen administrativen Zugriff über My Book Live-Laufwerke zu erlangen. Mit diesem Exploit können Hacker hochrangige Befehle auf Laufwerken ausführen und Dateien anzeigen oder ändern.
Interessanterweise war der CVE-2018-18472-Exploit von einem Hacker passwortgeschützt. Western Digital sagt, dass es verwendet wurde, um .nttpd,1-ppc-be-t1-z zu verbreiten, eine PowerPC-Malware, die Geräte in ein Linux-Botnetz verwandelt. Identitäten oder nutzen Sie DDoS-Angriffe.
Western Digital sagt, dass es nicht wisse, warum Hacker die Sicherheitslücken CVE-2018-18472 und Zurücksetzen auf die Werkseinstellungen nacheinander ausnutzen würden. Es scheint sicherlich nicht intuitiv zu sein; Warum sollten Sie in aller Stille ein Botnet aufbauen, nur um einen massiven Skandal zu verursachen und My Book Live-Benutzer dazu zu bringen, ein neues NAS-Gerät zu kaufen?
Die Schlussfolgerung von Censys und Ars Technica scheint am plausibelsten zu sein – ein Hacker führte den Exploit zum Zurücksetzen auf die Werkseinstellungen aus, um das wachsende Botnet zu sabotieren. Vielleicht sind die Hacker Rivalen, obwohl die ganze Sache auch Zufall gewesen sein könnte. Wer weiß, vielleicht hat jemand in einem Discord-Chat oder -Forum angekündigt, dass My Book Live-Geräte seit 2015 nicht mehr aktualisiert wurden, was dazu führte, dass zwei Hacker innerhalb desselben Zeitraums unabhängige Angriffe ausführen.
Wenn Sie’ ;sind My Book Live-Benutzer, trennen Sie bitte Ihr Laufwerk vom Internet und verwenden Sie es nie wieder als Remote-Speichergerät. Neuere NAS-Geräte, darunter auch die von Western Digital, verfügen über Sicherheitsfunktionen, die tatsächlich auf dem neuesten Stand sind.
Quelle: Ars Technica