< p>Non ci crederai. Western Digital ora conferma di aver disabilitato il codice di autenticazione che avrebbe dovuto impedire l'exploit del ripristino delle impostazioni di fabbrica di My Book Live della scorsa settimana. Quel che è peggio, questo codice è stato disabilitato nel 2011 con l'intento di sostituirlo con qualcosa di meglio: Western Digital si è semplicemente dimenticato di incollare il nuovo codice.
Torniamo un po' indietro. La scorsa settimana, gli utenti di My Book Live hanno scoperto che le loro unità di archiviazione connesse a Internet avevano perso tutti i loro dati. Un ripristino delle impostazioni di fabbrica, attivato da remoto, ha causato questa perdita di dati.
Da allora, l'analisi degli esperti di sicurezza ha dimostrato che gli hacker stavano sfruttando contemporaneamente due vulnerabilità separate di My Book Live; un exploit (denominato CVE-2018-18472) ha lasciato le unità aperte al controllo remoto completo ed è stato utilizzato per creare una botnet, mentre un altro exploit ha consentito agli hacker di eseguire reset di fabbrica in remoto senza la necessità di credenziali di accesso.
Questi esperti di sicurezza hanno scoperto che Western Digital aveva intenzionalmente disabilitato il codice di autenticazione del ripristino delle impostazioni di fabbrica, che avrebbe costretto gli hacker a inserire le informazioni di accesso per ogni dispositivo My Book Live che tentavano di formattare. Un nuovo post di supporto di Western Digital conferma che questo codice è stato disabilitato nel 2011 come parte di un refactoring, fondamentalmente un aggiornamento su larga scala al codice sottostante. Sebbene questo refactoring sia stato eseguito correttamente in altre parti del sistema My Book Live, non è riuscito a sostituire il codice di autenticazione del ripristino dei dati di fabbrica.
Abbiamo stabilito che la vulnerabilità al ripristino delle impostazioni di fabbrica non autenticato è stata introdotta in My Book Live nell'aprile del 2011 come parte di un refactoring della logica di autenticazione nel firmware del dispositivo. Il refactor ha centralizzato la logica di autenticazione in un unico file, che è presente sul dispositivo come include/component_config.php e contiene il tipo di autenticazione richiesto da ciascun endpoint. In questo refactoring, la logica di autenticazione in system_factory_restore.php è stata disabilitata correttamente, ma il tipo di autenticazione appropriato di ADMIN_AUTH_LAN_ALL non è stato aggiunto a component_config.php, causando la vulnerabilità. Lo stesso refactoring ha rimosso la logica di autenticazione da altri file e ha aggiunto correttamente il tipo di autenticazione appropriato al file component_config.php.
Western Digital continua a chiarire alcuni dettagli di questo attacco. Mentre gli analisti della sicurezza suggeriscono che un hacker ha sfruttato la vulnerabilità del ripristino dei dati di fabbrica per sabotare la crescente botnet My Book Live (abilitata dall'exploit separato CVE-2018-18472 “controllo remoto”), Western Digital afferma che entrambi gli attacchi venivano spesso eseguiti da un singolo indirizzo IP. Ciò suggerisce che un hacker ha approfittato di entrambe le vulnerabilità, per qualche ragione.
Durante tutto questo casino, molte persone hanno incolpato gli utenti di My Book Live per essersi lasciati esposti agli attacchi. Dopotutto, i dispositivi My Book Live non sono stati aggiornati dal 2015, quindi, ovviamente, non sono sicuri! Ma in realtà, le unità My Book Live erano vulnerabili al ripristino dei dati di fabbrica e CVE-2018-18472 “telecomando” exploit molto prima che Western Digital interrompesse il supporto software.
Western Digital afferma che offrirà servizi gratuiti di recupero dati e un dispositivo My Cloud gratuito ai proprietari di My Book Live a partire da luglio. Se stai ancora utilizzando un dispositivo My Book Live, scollegalo e non utilizzarlo mai più.
Fonte: Western Digital