< p>Je gaat dit niet geloven. Western Digital bevestigt nu dat het de authenticatiecode heeft uitgeschakeld die de My Book Live-fabrieksreset van vorige week had moeten voorkomen. Erger nog, deze code is in 2011 uitgeschakeld met de bedoeling deze te vervangen door iets beters.—Western Digital vergat gewoon de nieuwe code te plakken.
Laten we een beetje teruglopen. Vorige week ontdekten My Book Live-gebruikers dat hun op internet aangesloten opslagstations al hun gegevens waren kwijtgeraakt. Een fabrieksreset, op afstand geactiveerd, veroorzaakte dit gegevensverlies.
Analyse door beveiligingsexperts heeft sindsdien aangetoond dat hackers twee afzonderlijke My Book Live-kwetsbaarheden tegelijkertijd misbruikten; één exploit (CVE-2018-18472 genaamd) liet de schijven open voor volledige controle op afstand en werd gebruikt om een botnet te bouwen, terwijl een andere exploit het hackers mogelijk maakte om op afstand de fabrieksinstellingen te herstellen zonder dat daarvoor inloggegevens nodig waren.
Deze beveiligingsexperts ontdekten dat Western Digital opzettelijk de verificatiecode voor het terugzetten naar de fabrieksinstellingen had uitgeschakeld, waardoor hackers gedwongen zouden zijn om inloggegevens in te voeren voor elk My Book Live-apparaat dat ze probeerden te formatteren. Een nieuwe ondersteuningspost van Western Digital bevestigt dat deze code in 2011 is uitgeschakeld als onderdeel van een refactor, in feite een grootschalige upgrade naar de onderliggende code. Hoewel deze refactor correct werd uitgevoerd in andere delen van het My Book Live-systeem, kon de authenticatiecode voor het terugzetten naar de fabrieksinstellingen niet worden vervangen.
We hebben vastgesteld dat de kwetsbaarheid voor niet-geverifieerde fabrieksreset in april 2011 in de My Book Live is geïntroduceerd als onderdeel van een refactor van de authenticatielogica in de apparaatfirmware. De refactor centraliseerde de authenticatielogica in een enkel bestand, dat aanwezig is op het apparaat als include/component_config.php en het authenticatietype bevat dat vereist is voor elk eindpunt. Bij deze refactor is de authenticatielogica in system_factory_restore.php correct uitgeschakeld, maar het juiste authenticatietype ADMIN_AUTH_LAN_ALL is niet toegevoegd aan component_config.php, waardoor de kwetsbaarheid is ontstaan. Dezelfde refactor verwijderde authenticatielogica uit andere bestanden en voegde het juiste authenticatietype correct toe aan het bestand component_config.php.
Western Digital gaat verder met het verduidelijken van enkele details van deze aanval. Hoewel beveiligingsanalisten suggereren dat een hacker de kwetsbaarheid voor het herstellen van de fabrieksinstellingen heeft misbruikt om het groeiende My Book Live-botnet te saboteren (dat werd mogelijk gemaakt door de afzonderlijke CVE-2018-18472 'remote control'-exploit), zegt Western Digital dat beide aanvallen werden vaak uitgevoerd vanaf een enkel IP-adres. Dit suggereert dat één hacker om de een of andere reden gebruik heeft gemaakt van beide kwetsbaarheden.
Tijdens deze hele puinhoop hebben veel mensen My Book Live-gebruikers de schuld gegeven van het feit dat ze zichzelf openstelden voor aanvallen. My Book Live-apparaten zijn immers sinds 2015 niet meer bijgewerkt, dus ze zijn natuurlijk onveilig! Maar in werkelijkheid waren My Book Live-schijven kwetsbaar voor de fabrieksreset en CVE-2018-18472 'afstandsbediening'. exploiteert lang voordat Western Digital de software-ondersteuning beëindigde.
Western Digital zegt dat het vanaf juli gratis datahersteldiensten en een gratis My Cloud-apparaat zal aanbieden aan My Book Live-bezitters. Als u nog steeds een My Book Live-apparaat gebruikt, koppel het dan los en gebruik het nooit meer.
Bron: Western Digital