Muutama päivä sitten tapasimme yhden vakavimmat hakkeroinnit voimme muistaa vuosina, missä Ulkoiset WD My Book Live -kiintolevyt kanssa Internet-yhteys oli hakkeroitu, ja heidän tietonsa poistettiin kokonaan. Nämä verkon kiintolevyt (IN) oli ollut ilman päivitystukea vuodesta 2015, mikä tekee heistä haavoittuvia. Tapaus on kuitenkin paljon monimutkaisempi, ja se on johtanut hakkereiden väliseen taisteluun, joka on johtanut tähän poistamiseen.
23. heinäkuuta joukko WD-käyttäjiä alkoi valittaa, että heidän kiintolevynsä tiedot oli pyyhitty. Tarkastellessaan poistolokia jotkut huomasivat, että joku oli etänä suorittanut komennon palauttaa kiintolevyjen koko sisältö pyytämättä minkäänlaista salasanaa.
Voidaan nollata ilman salasanaa
Analysoituaan tapahtuman tietoturvatutkijat ovat havainneet haavoittuvuuden tiedostojen palautusjärjestelmässä, jossa a PHP-komentosarja suorittaa a tehdas nollaa ja poistaa kaikki tiedot. Tällainen toiminto vaatii yleensä vahvistussalasanan kirjoittamisen, mutta tarkistettuaan koodin he havaitsivat, että salasanaa pyytäneet koodirivit kommentoitiin alussa //: lla, joten niitä ei suoritettu.
Se on osa haavoittuvuutta, ja sen toteuttamiseksi heidän oli hyödynnettävä toista käytettävissä olevaa haavoittuvuutta. Hyökkääjillä oli yhtä helppoa kuin mennä haavoittuvuuteen, jonka kaksi tutkijaa nimeltä Paulos Yibelo ja Daniel Eshetu löysivät vuonna 2018. Western Digital tunnisti haavoittuvuuden ja antoi heille koodin CVE-2018-18472 .
Koska he eivät enää tukeneet näitä malleja, he eivät koskaan korjata sitä, jolloin sen löytäneet hyökkääjät voivat hyödyntää sitä. Tätä varten hyökkääjän on vain tehtävä tietää kyseisen laitteen IP-osoite , suoritetaan koodin etäsuoritus.
Mielenkiintoista on, että CVE-2018-18472-haavoittuvuuden vuoksi hyökkääjillä oli jo täydellinen pääsy laitteeseen, eikä heidän tarvinnut hyödyntää toista. Tämän taustalla oleva teoria on, että ensimmäinen hakkeri hyödynsi mallia CVE-2018-18472, ja kilpaileva hakkeri yritti myöhemmin suorittaa toisen haavoittuvuuden hallita muita laitteita ja tehdä niistä osa niiden hallitsemaa botnetia.
Hakkeritaistelu, loogisin selitys
Ensimmäinen hakkeri itse asiassa muutti kiintolevyissä olevaa tiedostoa asettamaan hashia vastaavan salasanan 56f650e16801d38f47bb0eeac39e21a8142d7da1 , joka pelkkänä tekstinä on p $ EFx3tQWoUbFc% B% R $ k @ . He käyttivät myös muita salasanoja muissa laitteissa ja tiedostoissa suojauksena siinä tapauksessa, että WD julkaisi päivityksen, joka korjasi ensimmäisen haavoittuvan tiedoston.
Jotkut CVE-2018-18472-sovelluksen avulla hakkeroiduista kiintolevyistä ovat myös saaneet haittaohjelman nimeltä. nttpd, 1-ppc-be-t1-z , joka on kirjoitettu jatkamaan PowerPC-laitteisto joita nämä WD-laitteet käyttävät. Tämän haittaohjelman avulla kiintolevyistä tulee osa botnet-verkkoa Linux.Ngioweb , jolla he voivat käynnistää DDoS-hyökkäyksiä.
Joten on järkevää, että toinen hakkeri halusi hallita laitetta tai vain ruuvaa tämä kilpaileva hakkeri ja suoritti komennon palauta kiintolevyt . Tämän ansiosta heidän omistajansa ovat huomanneet, että heihin on murtauduttu, koska muuten he olisivat voineet varastaa enemmän tietoja näistä kiintolevyistä. Siksi on erittäin tärkeää irrottaa nämä laitteet Internetistä ja käyttää niitä paikallisina kiintolevyinä. Nämä puutteet eivät vaikuta WD: n uudempiin laitteisiin, joten niiden omistajat voivat hengittää helposti.
