Western Digitalの開発者は、先週の大量ワイプ-day-not-2018-bug-to-mass-wipe-my-book-live-devices/”> Ars Technica 。ハッカーはこのコードの変更を悪用し、一部のMy BookLiveデバイスをボットネットに変えた別のハッカーを混乱させる可能性があります。
先週のグローバルワイプイベントの犠牲者は、My BookLiveデバイスのファクトリーリセットツールをパスワードで保護する必要があると不満を漏らしました。明らかに、それはかつてのケースでした。しかし、Western Digitalの開発者は、 system_factory_restore PHPスクリプトを編集して、すべての認証チェックをブロックしました。明確にするために、この開発者は認証チェックを削除しませんでしたが、コードの前にスラッシュマークを追加して、コードが実行されないようにしました。
function get($ urlPath、$ queryParams=null、$ ouputFormat='xml'){
//if(!authenticateAsOwner($ queryParams))
//{
//header("HTTP/1.0 401 Unauthorized");
//return;
//}
Ars Technica との会話で、セキュリティの専門家でRumble HD MooreのCEOは、次のように述べています。意図的にバイパスを有効にしたようなものです。」さらに厄介なのは、このハッカーがXMLリクエストでファクトリリセットをトリガーしたという事実です。これには、My BookLiveシステムの事前知識または非常に優れた推測が必要になります。
しかし、それだけではありません。ファクトリリセットエクスプロイトでヒットしたデバイスのほとんどは、すでにハッキングの試みの犠牲になっています。最近のWesternDigital ブログ投稿によると、ハッカーは3年前のエクスプロイトであるCVE-2018-18472を使用して My BookLiveドライブを介した完全な管理アクセス。このエクスプロイトにより、ハッカーはドライブ上で高レベルのコマンドを実行し、ファイルを表示または変更できます。
興味深いことに、CVE-2018-18472エクスプロイトはハッカーによってパスワードで保護されていました。 Western Digitalによると、拡散に使用されたとのことです。 nttpd、1-ppc-be-t1-z デバイスを
Western Digitalによると、ハッカーがCVE-2018-18472 およびファクトリリセットの脆弱性を連続して悪用する理由はわかりません。それは確かに直感に反しているようです。大規模なスキャンダルを作成し、My Book Liveユーザーに新しいNASデバイスを購入するように促すためだけに、ボットネットを静かに構築するのはなぜですか?
Censys と Ars Technica が最も妥当なようです。ハッカーがファクトリーリセットエクスプロイトを実行して、成長するボットネットを妨害しました。たぶんハッカーはライバルですが、このすべてが偶然だったかもしれません。誰が知っているか、Discordのチャットやフォーラムの誰かが、My Book Liveデバイスが2015年以降更新されておらず、2人のハッカーが同じ時間枠内で独立した攻撃を実行していると発表した可能性があります。
My Book Liveユーザーの場合は、ドライブをインターネットから切断し、リモートストレージデバイスとして使用しないでください。 Western Digitalのデバイスを含む新しいNASデバイスには、実際には最新のセキュリティ機能があります。
出典: Ars Technica