Een ontwikkelaar van Western Digital heeft code verwijderd die de massale wissen van My Book Live-opslagschijven, volgens een rapport van Ars Technica. Een hacker maakte misbruik van deze codewijziging, waardoor waarschijnlijk een andere hacker die sommige My Book Live-apparaten in een botnet had veranderd, ontwricht zou worden.
Slachtoffers van de wereldwijde wisactie van vorige week klaagden dat de fabrieksresettool op hun My Book Live-apparaten met een wachtwoord moest worden beveiligd. Blijkbaar was dat ooit het geval. Maar een ontwikkelaar bij Western Digital heeft het system_factory_restore PHP-script bewerkt om alle authenticatiecontroles te blokkeren. Voor alle duidelijkheid: deze ontwikkelaar heeft de authenticatiecontroles niet verwijderd, maar heeft gewoon schuine strepen voor de code toegevoegd om te voorkomen dat deze wordt uitgevoerd.
functie get($urlPath, $queryParams=null, $ouputFormat='xml'){
//if(!authenticateAsOwner($queryParams))
//{
//header("HTTP/1.0 401 Ongeautoriseerd");
//return;
//}
In een gesprek met Ars Technica verklaarde beveiligingsexpert en CEO van Rumble HD Moore dat”de verkoper die commentaar geeft op de authenticatie in het systeemherstel-eindpunt er echt niet voor zorgt dat de zaken er goed uitzien voor hen… Het is alsof ze opzettelijk de bypass hebben ingeschakeld.” Nog vernietigender is het feit dat deze hacker fabrieksresets activeerde met een XML-verzoek, waarvoor voorkennis van het My Book Live-systeem of buitengewoon goed giswerk vereist was.
Maar dat is niet alles. De meeste apparaten die werden getroffen door de fabrieksreset, waren al het slachtoffer geworden van een hackpoging. Een recente Western Digital blogpost stelt dat hackers CVE-2018-18472, een drie jaar oude exploit, gebruikten om volledige beheerderstoegang via My Book Live-schijven. Met deze exploit kunnen hackers commando’s op hoog niveau uitvoeren op schijven en bestanden bekijken of wijzigen.
Interessant is dat de exploit CVE-2018-18472 werd beveiligd met een wachtwoord door een hacker. Western Digital zegt dat het werd gebruikt voor het verspreiden van.nttpd,1-ppc-be-t1-z, een PowerPC-malware die apparaten verandert in een Linux.Ngioweb botnet: in feite een roterende proxyservice die de identiteit van cybercriminelen kan verbergen of DDoS-aanvallen kan gebruiken.
Western Digital zegt dat het niet weet waarom hackers de CVE-2018-18472 en kwetsbaarheden voor het terugzetten van de fabrieksinstellingen back-to-back zouden misbruiken. Het lijkt zeker contra-intuïtief; waarom zou je stilletjes een botnet bouwen om een enorm schandaal te veroorzaken en My Book Live-gebruikers ertoe aan te zetten een nieuw NAS-apparaat te kopen?
De conclusie van Censys en Ars Technica lijkt het meest aannemelijk: een hacker voerde de fabrieksreset uit om het groeiende botnet te saboteren. Misschien zijn de hackers rivalen, hoewel dit allemaal toeval kan zijn geweest. Wie weet, misschien heeft iemand in een Discord-chat of-forum aangekondigd dat My Book Live-apparaten sinds 2015 niet zijn bijgewerkt, waardoor twee hackers binnen hetzelfde tijdsbestek onafhankelijke aanvallen uitvoeren.
Als u een My Book Live-gebruiker bent, koppel dan uw schijf los van internet en gebruik deze nooit meer als extern opslagapparaat. Nieuwere NAS-apparaten, waaronder die van Western Digital, hebben beveiligingsfuncties die daadwerkelijk up-to-date zijn.
Bron: Ars Technica
