Różności i nowinki technologia

Hakerzy wykorzystali błąd 0-day, a nie 2018, aby masowo wyczyścić urządzenia My Book Live

Hakerzy wykorzystali błąd 0-day, a nie 2018, aby masowo wyczyścić urządzenia My Book Live

Obrazy Getty

Jak wynika z dochodzenia, masowe wyczyszczenie urządzeń pamięci masowej Western Digital My Book Live w zeszłym tygodniu wiązało się z wykorzystaniem nie tylko jednej luki w zabezpieczeniach, ale drugiego krytycznego błędu bezpieczeństwa, który umożliwiał hakerom zdalne przywrócenie ustawień fabrycznych bez hasła.

Ta luka jest niezwykła nie tylko dlatego, że wyczyszczenie prawdopodobnie petabajtów danych użytkownika stało się trywialne. Jeszcze bardziej godny uwagi był fakt, że według samego zagrożonego kodu deweloper z Western Digital aktywnie usuwał kod, który wymagał prawidłowego hasła użytkownika przed umożliwieniem przywrócenia ustawień fabrycznych.

Gotowe i cofnięte

Nieudokumentowana luka znajdowała się w pliku o trafnej nazwie system_factory_restore. Zawiera skrypt PHP, który wykonuje resety, co pozwala użytkownikom przywrócić wszystkie domyślne konfiguracje i wyczyścić wszystkie dane przechowywane na urządzeniach.

Normalnie i nie bez powodu przywrócenie ustawień fabrycznych wymaga od osoby zgłaszającej żądanie podania hasła użytkownika. To uwierzytelnianie zapewnia, że ​​urządzenia wystawione na działanie Internetu mogą zostać zresetowane tylko przez uprawnionego właściciela, a nie przez złośliwego hakera.

Jak pokazuje poniższy skrypt, programista Western Digital utworzył pięć wierszy kodu, aby zabezpieczyć hasłem polecenie resetowania. Z nieznanych powodów sprawdzenie uwierzytelnienia zostało anulowane lub w żargonie programisty zostało skomentowane, jak wskazuje podwójny znak / na początku każdego wiersza.

function get($urlPath, $queryParams=null, $ouputFormat="xml"){
// if(!authenticateAsOwner($queryParams))
// {
// header("HTTP/1.0 401 Unauthorized");
// return;
// }

„Dostawca komentujący uwierzytelnianie w punkcie końcowym przywracania systemu naprawdę nie sprawia, że ​​wszystko wygląda dobrze” – powiedział mi HD Moore, ekspert ds. bezpieczeństwa i dyrektor generalny platformy wykrywania sieci Rumble. „To tak, jakby celowo włączyli obwodnicę”.

Aby wykorzystać tę lukę, osoba atakująca musiałaby znać format żądania XML, które wyzwala resetowanie. To „nie jest tak proste, jak trafienie na losowy adres URL z żądaniem GET, ale [it’s] też nie tak daleko – powiedział Moore.

Koleś, gdzie są moje dane?

Odkrycie drugiego exploita nastąpiło pięć dni po tym, jak ludzie z całego świata zgłosili, że ich urządzenia My Book Live zostały zhakowane, a następnie przywrócone do ustawień fabrycznych, tak aby wszystkie przechowywane dane zostały wyczyszczone. My Book Live to urządzenie pamięci masowej wielkości książki, które wykorzystuje gniazdo Ethernet do łączenia się z sieciami domowymi i biurowymi, dzięki czemu podłączone komputery mają dostęp do zapisanych na nim danych. Autoryzowani użytkownicy mogą również uzyskiwać dostęp do swoich plików i dokonywać zmian konfiguracyjnych przez Internet. Western Digital przestał wspierać My Book Live w 2015 roku.

Personel Western Digital opublikował zalecenie po masowym wyczyszczeniu, w którym stwierdzono, że jest to wynik ataku wykorzystującego CVE-2018-18472. Luka umożliwiająca zdalne wykonanie poleceń została wykryta pod koniec 2018 r. przez badaczy bezpieczeństwa Paulosa Yibelo i Daniela Eshetu. Ponieważ wyszło na jaw trzy lata po tym, jak Western Digital przestał wspierać My Book Live, firma nigdy go nie naprawiła.

Analiza przeprowadzona przez Arsa i Dereka Abdine, dyrektora ds. technologii w firmie Censys zajmującej się bezpieczeństwem, wykazała, że ​​urządzenia zaatakowane podczas masowego hakowania w zeszłym tygodniu również były przedmiotem ataków wykorzystujących lukę w zabezpieczeniach nieautoryzowanego resetu. Dodatkowy exploit jest udokumentowany w plikach dziennika pobranych z dwóch zhakowanych urządzeń.

Jeden z dzienników został opublikowany na forum wsparcia Western Digital, gdzie po raz pierwszy wyszedł na jaw masowy kompromis. Pokazuje, że ktoś z adresu IP 94.102.49.104 pomyślnie przywraca urządzenie:

rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 PARAMETR System_factory_restore POST : erase = none
rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 WYJŚCIE System_factory_restore POST SUCCESS

Drugi plik dziennika, który uzyskałem ze zhakowanego urządzenia My Book Live, wykazywał inny adres IP — 23.154.177.131 — wykorzystujący tę samą lukę. Oto charakterystyczne linie:

16 czerwca 07:28:41 MyBookLive REST_API[28538]: 23.154.177.131 PARAMETR System_factory_restore POST : kasuj = format
16 czerwca 07:28:42 MyBookLive REST_API[28538]: 23.154.177.131 WYJŚCIE System_factory_restore POST SUCCESS

Po przedstawieniu tych ustaleń przedstawicielom Western Digital otrzymałem następujące potwierdzenie: „Możemy potwierdzić, że przynajmniej w niektórych przypadkach osoby atakujące wykorzystały lukę wstrzykiwania polecenia (CVE-2018-18472), a następnie lukę w zakresie przywracania ustawień fabrycznych. Nie jest jasne, dlaczego osoby atakujące wykorzystały obie luki. Poprosimy o CVE w przypadku luki w zabezpieczeniach przywracania ustawień fabrycznych i zaktualizujemy nasz biuletyn o te informacje”.

Ta luka została zabezpieczona hasłem

Odkrycie rodzi irytujące pytanie: jeśli hakerzy uzyskali już pełny dostęp do roota, wykorzystując CVE-2018-18472, po co mieli tę drugą lukę w zabezpieczeniach? Nie ma jednoznacznej odpowiedzi, ale w oparciu o dostępne dowody Abdine sformułowała prawdopodobną teorię – że jeden haker najpierw wykorzystał CVE-2018-18472, a rywalizujący haker później wykorzystał drugą lukę, próbując odzyskać kontrolę nad tymi, które już zostały skompromitowane. urządzenia.

Osoba atakująca, która wykorzystała CVE-2018-18472, wykorzystała udostępnianą przez siebie możliwość wykonywania kodu, aby zmodyfikować plik na stosie My Book Live o nazwie language_configuration.php, w którym znajduje się luka. Według odzyskanego pliku modyfikacja dodała następujące wiersze:

}
function put($urlPath, $queryParams=null, $ouputFormat="xml"){
if(!isset($changes["submit"]) || sha1($changes["submit"]) != "05951edd7f05318019c4cfafab8e567afe7936d4")
{
die();
}

Zmiana uniemożliwiła każdemu wykorzystanie luki bez hasła odpowiadającego kryptograficznemu skrótowi SHA1 05951edd7f05318019c4cfafab8e567afe7936d4. Okazuje się, że hasło do tego skrótu to p$EFx3tQWoUbFc%B%R$k@. Tutaj w odzyskanym pliku dziennika pojawia się zwykły tekst.

Oddzielny zmodyfikowany plik language_configuration.php odzyskany z zaatakowanego urządzenia używał innego hasła, które odpowiada hashowi 56f650e16801d38f47bb0eeac39e21a8142d7da1. Hakerzy użyli trzeciego skrótu — b18c3795fd377b51b7925b2b68ff818cc9115a47 — aby zabezpieczyć hasłem oddzielny plik o nazwie accessDenied.php. Prawdopodobnie zrobiono to jako polisę ubezpieczeniową na wypadek, gdyby firma Western Digital wydała aktualizację, która załatała language_configuration.

Jak dotąd próby złamania tych dwóch innych skrótów nie powiodły się.

Zgodnie z zaleceniem Western Digital, do którego link znajduje się powyżej, niektóre urządzenia My Book Live zhakowane przy użyciu CVE-2021-18472 zostały zainfekowane złośliwym oprogramowaniem o nazwie .nttpd,1-ppc-be-t1-z, które zostało napisane do działania na używanym sprzęcie PowerPC przez urządzenia My Book Live. Jeden z użytkowników na forum pomocy technicznej zgłosił zhakowanie My Book Live, które otrzymało to złośliwe oprogramowanie, które czyni urządzenia częścią botnetu o nazwie Linux.Ngioweb.

Pojawia się teoria

Dlaczego więc ktoś, kto z powodzeniem przerobił tak wiele urządzeń My Book Live w botnet, miałby odwrócić się, wyczyścić je i zresetować? I dlaczego ktoś miałby używać nieudokumentowanego obejścia uwierzytelniania, skoro ma już dostęp roota?

Najbardziej prawdopodobną odpowiedzią jest to, że masowego czyszczenia i resetowania dokonał inny atakujący, najprawdopodobniej rywal, który bezskutecznie próbował przejąć kontrolę nad botnetem rywala lub po prostu chciał go sabotować.

„Jeśli chodzi o motyw POST do tego [system_factory_restore] punkt końcowy na masową skalę, nie jest znany, ale może to być próba przejęcia tych urządzeń przez konkurencyjnego operatora botnetu lub uczynienia ich bezużytecznymi, lub kogoś, kto chciał w inny sposób zakłócić działanie botnetu, który prawdopodobnie istnieje od jakiegoś czasu, ponieważ te problemy istnieją od 2015 roku” – napisał Abdine w niedawnym poście na blogu.

Odkrycie tej drugiej luki w zabezpieczeniach oznacza, że ​​urządzenia My Book Live są jeszcze bardziej niepewne, niż większość ludzi sądziła. Dodaje uprawnienia do wezwania Western Digital, aby wszyscy użytkownicy odłączyli swoje urządzenia od Internetu. Każdy, kto korzysta z jednego z tych urządzeń, powinien natychmiast posłuchać połączenia.

Dla wielu zhakowanych użytkowników, którzy stracili dane z lat lub dekad, myśl o zakupie kolejnego urządzenia pamięci masowej Western Digital prawdopodobnie nie wchodzi w rachubę. Abdine twierdzi jednak, że urządzenia My Cloud Live, które zastąpiły produkty My Book Live firmy Western Digital, mają inną bazę kodu, która nie zawiera żadnej z luk wykorzystywanych podczas niedawnego masowego czyszczenia.

„Rzuciłem też okiem na oprogramowanie układowe My Cloud” — powiedział mi. „Jest napisany od nowa i trochę, ale w większości niewiele, przypomina kod My Book Live. Więc nie ma tych samych problemów”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook