خبر

  • تک بورد - هکرها برای پاک کردن گسترده دستگاه های My Book Live ، از اشکال 0 روزه و نه سال 2018 سو استفاده کردند

    هکرها برای پاک کردن گسترده دستگاه های My Book Live ، از اشکال 0 روزه و نه سال 2018 سو استفاده کردند
    5 روز و 19 ساعت قبل

    وسترن دیجیتال کدی را حذف کرد که از پاک شدن پتابایت داده جلوگیری می کرد.
    پاک کردن گسترده دستگاه های ذخیره سازی Western Digital My Book Live در هفته گذشته شامل سو of استفاده از نه تنها یک آسیب پذیری بلکه یک اشکال امنیتی دوم بود که به هکرها اجازه می داد تحقیقات نشان می دهد از راه دور تنظیم مجدد کارخانه بدون رمز عبور انجام می شود.

    این آسیب پذیری نه تنها به این دلیل قابل توجه است که پاک کردن احتمالی petabytes داده های کاربر را بی اهمیت می کند. نکته قابل توجه تر این واقعیت بود که ، طبق خود کد آسیب پذیر ، یک توسعه دهنده Western Digital فعالانه کدی را حذف می کرد که قبل از اجازه تنظیم مجدد کارخانه به رمز ورود کاربر معتبر احتیاج داشت.

    انجام و لغو

    آسیب پذیری بدون سند در فایلی به نام system_factory_restore به درستی نامگذاری شده است. این شامل یک اسکریپت PHP است که تنظیم مجدد را انجام می دهد ، که به کاربران امکان می دهد تمام تنظیمات پیش فرض را بازیابی کرده و تمام داده های ذخیره شده در دستگاه ها را پاک کنند.

    به طور معمول ، و به همین دلیل ، برای بازنشانی کارخانه شخصی که درخواست کرده است نیاز دارد رمز ورود کاربر را ارائه دهید. این احراز هویت اطمینان حاصل می کند که دستگاه های در معرض اینترنت فقط توسط مالک قانونی قابل تنظیم مجدد هستند و نه توسط یک هکر مخرب.

    همانطور که اسکریپت زیر نشان می دهد ، یک توسعه دهنده Western Digital پنج خط کد برای رمز عبور ایجاد کرده است از دستور تنظیم مجدد محافظت کنید. به دلایل ناشناخته ، بررسی احراز هویت لغو شد ، یا به اصطلاح توسعه دهنده ، همانطور که در ابتدای هر خط با دو / نویسه نشان داده شده بود ، توضیح داده شد.

    تابع get ($ urlPath، $ queryParams = null، $ ouputFormat = 'xml') {// if (! authenticateAsOwner ($ queryParams)) // {// header ("HTTP / 1.0 401 غیر مجاز")؛ // برگشت؛ //}

    "HD مور ، یک متخصص امنیت و مدیر عامل پلت فرم کشف شبکه رامبل ،" فروشنده ای که در مورد احراز هویت در نقطه پایانی بازیابی سیستم اظهار نظر می کند واقعاً شرایط را برای آنها خوب نمی کند. " من "مثل اینکه آنها به طور عمدی بای پس را فعال کرده اند."

    برای سو explo استفاده از این آسیب پذیری ، مهاجم باید از قالب درخواست XML که باعث بازنشانی می شود ، می دانست. مور گفت: "این کار به آسانی ضربه زدن به یک URL تصادفی با درخواست GET نیست ، اما [همچنین] دور از دسترس نیست".

    عزیزم ، داده های من کجاست؟

    خواندن بیشتر "من کاملاً پیچیده ام". کاربران WD My Book Live بیدار می شوند تا اطلاعات خود را حذف کنند کشف دومین سوit استفاده پنج روز پس از آن انجام می شود که مردم در سراسر جهان گزارش دادند که دستگاه های My Book Live خود به خطر افتاده و سپس تنظیم مجدد کارخانه را انجام داده اند تا تمام داده های ذخیره شده پاک شود. My Book Live یک دستگاه ذخیره سازی به اندازه کتاب است که برای اتصال به شبکه های خانگی و اداری از جک اترنت استفاده می کند تا رایانه های متصل به داده های موجود در آن دسترسی داشته باشند. کاربران مجاز همچنین می توانند به پرونده های خود دسترسی پیدا کرده و از طریق اینترنت تغییرات پیکربندی را انجام دهند. وسترن دیجیتال در سال 2015 پشتیبانی از My Book Live را متوقف کرد.

    پرسنل وسترن دیجیتال مشاوره ای را به دنبال پاک کردن جمعی ارسال کردند که اعلام کرد این نتیجه حمله مهاجمان به بهره برداری از CVE-2018-18472 است. آسیب پذیری اجرای دستور از راه دور در اواخر سال 2018 توسط محققان امنیتی پاولوس ییبلو و دانیل اشتو کشف شد. از آنجا که سه سال پس از آنکه Western Digital از پشتیبانی My Book Live متوقف شد ، این شرکت هرگز آن را برطرف نکرد.

    تبلیغات

    تجزیه و تحلیل انجام شده توسط Ars و Derek Abdine ، CTO در شرکت امنیتی Censys ، نشان داد که دستگاه ها هفته گذشته توسط هک انبوه مورد حمله قرار گرفت که از آسیب پذیری تنظیم مجدد غیرمجاز بهره برداری می کرد. سو additional استفاده اضافی در پرونده های گزارش استخراج شده از دو دستگاه هک شده ثبت شده است.

    یکی از گزارش ها در تالار گفتمان پشتیبانی Western Digital ارسال شد ، جایی که مصالحه گسترده برای اولین بار ظاهر شد. این کسی را از آدرس IP 94.102.49.104 با موفقیت بازیابی یک دستگاه نشان می دهد: none rest_api.log.1: ژوئن 23 15:46:11 MyBookLiveDuo REST_API [9529]: 94.102.49.104 OUTPUT System_factory_restore POST SUCCESS

    پرونده ورود به سیستم دوم که از دستگاه هک شده My Book Live به دست آوردم تفاوت دیگری داشت آدرس IP - 23.154.177.131 - با بهره گیری از همان آسیب پذیری. در اینجا خطوط گفتاری وجود دارد:

    ژوئن 16 07:28:41 MyBookLive REST_API [28538]: 23.154.177.131 PARAMETER System_factory_restore POST: erase = format 16 ژوئن 07:28:42 MyBookLive REST_API [28538]: 23.154 .177.131 OUTPUT System_factory_restore POST SUCCESS

    پس از ارائه این یافته ها به نمایندگان Western Digital ، تأیید زیر را دریافت کردم: "ما می توانیم تأیید کنیم که حداقل در برخی موارد ، مهاجمان از آسیب پذیری تزریق دستور (CVE -2018-18472) ، و به دنبال آن آسیب پذیری تنظیم مجدد کارخانه است. مشخص نیست که چرا مهاجمان از هر دو آسیب پذیری سو استفاده کردند. ما برای آسیب پذیری تنظیم مجدد کارخانه CVE درخواست خواهیم کرد و بولتن خود را به روز می کنیم تا این اطلاعات را در آن بگنجانیم. "

    این آسیب پذیری با رمز عبور محافظت شده است

    این کشف س questionال آزار دهنده ای را ایجاد می کند: اگر هکرها از قبل ریشه کامل پیدا کرده بودند با بهره برداری از CVE-2018-18472 ، آنها به این نقص امنیتی دوم چه نیازی داشتند؟ هیچ پاسخ روشنی وجود ندارد ، اما بر اساس شواهد موجود ، Abdine نظریه قابل قبولی ارائه کرده است - این که یک هکر ابتدا از CVE-2018-18472 بهره برداری کرد و یک هکر رقیب بعداً از آسیب پذیری دیگر استفاده کرد تا بتواند کنترل کسانی که قبلاً در معرض خطر بودند را کنترل کند. دستگاهها.

    مهاجمی که از CVE-2018-18472 بهره برداری کرده است از قابلیت اجرای کد استفاده کرده و برای تغییر فایلی در پشته My Book Live با نام language_configuration.php استفاده می کند ، جایی که این آسیب پذیری در آن واقع شده است. با توجه به یک فایل بازیابی شده ، اصلاحات خطوط زیر را اضافه کرد:} function put ($ urlPath، $ queryParams = null، $ ouputFormat = 'xml') {if (! isset ($ change ["submit")) || sha1 ( $ تغییرات ["ارسال"])! = "05951edd7f05318019c4cfafab8e567afe7936d4") {die ()؛ } این تغییر از سو anyone استفاده از این آسیب پذیری بدون رمز عبور مربوط به هش 05951edd7f05318019c4cfafab8e567afe7936d4 رمزنگاری SHA1 جلوگیری کرد. به نظر می رسد که رمز عبور این هش p $ EFx3tQWoUbFc٪ B٪ R $ k @ است. متن ساده در پرونده ورود به سیستم بازیابی شده در اینجا ظاهر می شود. هکرها از هش سوم - b18c3795fd377b51b7925b2b68ff818cc9115a47 - برای محافظت از رمز عبور یک پرونده جداگانه به نام accessDenied.php استفاده کردند. در صورتی که Western Digital به روزرسانی را منتشر کرد که پیکربندی زبان_چسبیده را به عنوان یک بیمه نامه انجام داده بود.

    تبلیغات

    تاکنون تلاش برای شکستن این دو هش دیگر به نتیجه نرسیده است.

    طبق توصیه های Western Digital که در بالا پیوند داده شده است ، برخی از دستگاه های My Book Live که با استفاده از CVE-2021-18472 هک شده اند ، به بدافزارهایی به نام .nttpd، 1-ppc-be-t1-z آلوده شده اند که برای اجرا بر روی سخت افزار PowerPC استفاده شده است. توسط دستگاههای My Book Live. یکی از کاربران در انجمن پشتیبانی ، گزارش دریافت My Book Live هک شده با دریافت این بدافزار را که باعث می شود دستگاه ها به عنوان یک botnet به نام Linux.Ngioweb تبدیل شوند.

    یک نظریه مطرح می شود

    پس چرا کسی که با موفقیت این همه My Book Live را به هم ریخته است دستگاه ها به یک بات نت تبدیل می شوند و آنها را پاک و بازنشانی می کنیم؟ و چرا وقتی کسی از قبل دسترسی ریشه ای داشته باشد از بای پس احراز هویت بدون سند استفاده می کند؟

    محتمل ترین پاسخ این است که پاک کردن و بازنشانی جمعی توسط مهاجم دیگری انجام شده است ، احتمالاً رقیبی که یا تلاش کرده ، بدون موفقیت ، برای کنترل بوت نت رقیب یا به سادگی می خواستند آن را خرابکاری کنند.

    "در مورد انگیزه POST برای ارسال به این نقطه پایان [system_factory_restore] در مقیاس گسترده ، ناشناخته است ، اما این می تواند تلاشی باشد یک اپراتور ربات بات نت برای بدست آوردن این دستگاه ها یا استفاده از آنها بی فایده است ، یا کسی که می خواست در غیر این صورت بات نت را مختل کند که احتمالاً مدتی است وجود دارد ، از آنجا که این مسائل از سال 2015 وجود دارد ، "عبدین در پست اخیر وبلاگ نوشت.

    کشف این آسیب پذیری دوم به این معنی است که دستگاه های My Book Live حتی بیش از آنچه تصور می کردند ناامن هستند. این امر به تماس وسترن دیجیتال برای ارتباط قطع ارتباط همه کاربران از اینترنت توسط کاربران ، افزود. هرکسی که از یکی از این دستگاه ها استفاده می کند باید فوراً به این تماس توجه کند.

    برای بسیاری از کاربران هک شده که سالها یا دهه ها داده خود را از دست داده اند ، احتمالاً فکر خرید دستگاه ذخیره سازی Western Digital دیگر دور از ذهن است. با این وجود ، Abdine می گوید که دستگاه های My Cloud Live ، جایگزین محصولات My Book Live وسترن دیجیتال ، دارای کد کد متفاوتی هستند که هیچ یک از آسیب پذیری های استفاده شده در پاک سازی گسترده اخیر را ندارد.

    "من همچنین به سیستم عامل My Cloud نگاهی انداخت. "او به من گفت. "دوباره بازنویسی شده و شباهت زیادی به کد My Live Live دارد ، اما عمدتا کمی است. بنابراین از همان مسائل مشترک نیست. "





خبرهای دیگر از اسباب