< p>Een ontwikkelaar van Western Digital heeft code verwijderd die het massale wissen van My Book Live-opslagschijven vorige week zou hebben voorkomen, volgens een rapport van Ars Technica. Een hacker maakte misbruik van deze wijziging in de code, waardoor hij waarschijnlijk een andere hacker zou verstoren die sommige My Book Live-apparaten in een botnet had veranderd.
Slachtoffers van de wereldwijde wisactie van vorige week klaagden dat de fabrieksresettool op hun My Book Live-apparaten met een wachtwoord moet worden beveiligd. Blijkbaar was dat ooit het geval. Maar een ontwikkelaar bij Western Digital heeft het PHP-script system_factory_restore aangepast om alle authenticatiecontroles te blokkeren. Voor alle duidelijkheid: deze ontwikkelaar heeft de authenticatiecontroles niet verwijderd, maar heeft gewoon schuine strepen voor de code toegevoegd om te voorkomen dat deze wordt uitgevoerd.
function get($urlPath, $queryParams=null, $ouputFormat=' xml'){
//if(!authenticateAsOwner($queryParams))
//{
//header(“HTTP/1.0 401 Unauthorized”);
//return ;
//}
In een gesprek met Ars Technica verklaarde beveiligingsexpert en CEO van Rumble HD Moore dat “de verkoper die commentaar geeft op de authenticatie in het eindpunt voor systeemherstel, de zaken er echt niet goed uit laat zien” Het is alsof ze opzettelijk de bypass hebben ingeschakeld. Nog vernietigender is het feit dat deze hacker fabrieksresets activeerde met een XML-verzoek, waarvoor voorkennis van het My Book Live-systeem of buitengewoon goed giswerk vereist was.
Maar dat is niet alles. De meeste apparaten die werden getroffen door de fabrieksreset, waren al het slachtoffer geworden van een hackpoging. In een recent blogbericht van Western Digital staat dat hackers CVE-2018-18472, een drie jaar oude exploit, gebruikten om volledige beheerderstoegang te krijgen via My Book Live-schijven. Met deze exploit kunnen hackers commando's op hoog niveau uitvoeren op schijven en bestanden bekijken of wijzigen.
Interessant is dat de exploit CVE-2018-18472 met een wachtwoord werd beveiligd door een hacker. Western Digital zegt dat het werd gebruikt om .nttpd,1-ppc-be-t1-z te verspreiden, een PowerPC-malware die apparaten verandert in een Linux.Ngioweb-botnet, in feite een roterende proxyservice die cybercriminelen kan verbergen. identiteiten of het gebruik van DDoS-aanvallen.
Western Digital zegt dat het niet weet waarom hackers de CVE-2018-18472 en de kwetsbaarheden voor het terugzetten van de fabrieksinstellingen back-to-back zouden misbruiken. Het lijkt zeker contra-intuïtief; waarom zou je stilletjes een botnet bouwen om een enorm schandaal te veroorzaken en My Book Live-gebruikers ertoe aan te zetten een nieuw NAS-apparaat te kopen?
De conclusie van Censys en Ars Technica lijkt de meest plausibele: een hacker voerde de fabrieksreset-exploit uit om het groeiende botnet te saboteren. Misschien zijn de hackers rivalen, hoewel dit allemaal toeval kan zijn geweest. Wie weet, misschien heeft iemand in een Discord-chat of -forum aangekondigd dat My Book Live-apparaten sinds 2015 niet zijn bijgewerkt, waardoor twee hackers onafhankelijke aanvallen binnen hetzelfde tijdsbestek uitvoeren.
Als je' Als u een My Book Live-gebruiker bent, koppelt u uw schijf los van internet en gebruikt u deze nooit meer als extern opslagapparaat. Nieuwere NAS-apparaten, waaronder die van Western Digital, hebben beveiligingsfuncties die daadwerkelijk up-to-date zijn.
Bron: Ars Technica