Vor ein paar Tagen haben wir einen der die schlimmsten Hacks Wir können uns in Jahren erinnern, wo Externe WD My Book Live-Festplatten sowie einem Internetverbindung gehackt und ihre Daten vollständig gelöscht. Diese Netzwerkfestplatten (NAS) gewesen ohne Update-Unterstützung seit 2015, was sie verwundbar macht. Der Fall ist jedoch viel komplexer und es war ein Kampf zwischen Hackern, der zu dieser Löschung geführt hat.
Am 23. Juli begannen sich Scharen von WD-Benutzern darüber zu beschweren, dass die Daten auf ihren Festplatten gelöscht wurden. Bei der Durchsicht des Löschprotokolls stellten einige fest, dass jemand aus der Ferne einen Befehl zum Zurücksetzen des gesamten Inhalts der Festplatten ausgeführt hatte, ohne nach einem Passwort zu fragen.
Könnte ohne Passwort zurückgesetzt werden
Nach der Analyse des Ereignisses haben Sicherheitsforscher eine Schwachstelle im Dateiwiederherstellungssystem entdeckt, bei der a PHP-Skript führt a Fabrik zurücksetzen und alle Daten löschen. Eine solche Funktion erfordert normalerweise die Eingabe eines Bestätigungspassworts, aber bei der Überprüfung des Codes stellten sie fest, dass die Codezeilen, die das Passwort angefordert haben, am Anfang mit // auskommentiert waren, sodass sie nicht ausgeführt wurden.
Das ist ein Teil der Schwachstelle, und um sie auszuführen, mussten sie eine andere verfügbare ausnutzen. Die Angreifer hatten es so einfach wie die Schwachstelle, die zwei Forscher namens Paulos Yibelo und Daniel Eshetu 2018 entdeckten. Die Schwachstelle wurde von Western Digital erkannt und dem Code zugeordnet CVE-2018-18472 .
Da sie diese Modelle jedoch nicht mehr unterstützten, haben sie sie nie gepatcht, sodass jeder Angreifer, der sie entdeckt hat, sie ausnutzen kann. Dazu muss der Angreifer nur kennen die IP-Adresse des betroffenen Geräts , um eine Remotecodeausführung durchzuführen.
Interessanterweise hatten Angreifer mit der Schwachstelle CVE-2018-18472 bereits vollen Zugriff auf das Gerät und mussten die zweite Schwachstelle nicht ausnutzen. Die Theorie dahinter ist, dass ein erster Hacker CVE-2018-18472 ausnutzte und ein konkurrierender Hacker später versuchte, die andere Schwachstelle auszuführen, um die Kontrolle über die anderen Geräte zu übernehmen und sie zu einem Teil eines von ihnen kontrollierten Botnetzes zu machen.
Eine Hackerschlacht, die logischste Erklärung
Der erste Hacker hat tatsächlich eine Datei auf den Festplatten geändert, um ein dem Hash entsprechendes Passwort zu setzen 56f650e16801d38f47bb0eeac39e21a8142d7da1 , was im Klartext ist p $ EFx3tQWoUbFc% B% R $ k @ . Sie verwendeten auch andere Passwörter auf anderen Geräten und Dateien als Schutz für den Fall, dass WD ein Update veröffentlichte, das die erste anfällige Datei reparierte.
Einige der mit CVE-2018-18472 gehackten Festplatten wurden auch mit einer Malware namens. nttpd, 1-ppc-be-t1-z , das geschrieben wurde, um darauf zu laufen PowerPC-Hardware von diesen WD-Geräten verwendet. Mit dieser Malware werden Festplatten Teil eines Botnetzes namens Linux.Ngioweb , mit denen sie DDoS-Angriffe starten können.
Es macht also Sinn, dass ein zweiter Hacker das Gerät kontrollieren wollte oder einfach nur Scheiß auf diesen rivalisierenden Hacker , und führte den Befehl to . aus die Festplatten zurücksetzen . Dadurch haben ihre Besitzer entdeckt, dass sie gehackt wurden, da sie sonst mehr Daten von diesen Festplatten hätten stehlen können. Daher ist es sehr wichtig, diese Geräte vom Internet zu trennen und als lokale Festplatten zu verwenden. Die neueren Geräte von WD sind von diesen Mängeln nicht betroffen, sodass ihre Besitzer aufatmen können.
