[ad_1]

هکرها برای حذف گسترده دستگاه های My Book Live از خطای 0 روزه به جای سال 2018 استفاده کردند

گتی ایماژ

یک تحقیق نشان می دهد که حذف گسترده دستگاه های ذخیره سازی Western Digital My Book Live در هفته گذشته شامل سو not استفاده نه تنها از یک آسیب پذیری بلکه از یک اشکال امنیتی مهم دوم بود که به هکرها اجازه می داد از راه دور تنظیم مجدد کارخانه را بدون رمز عبور انجام دهند.

این آسیب پذیری نه تنها به این دلیل قابل توجه است که حذف پتابایت های احتمالی داده های کاربر را بی اهمیت کرده است. حتی بیشتر جالب توجه این واقعیت بود که ، با توجه به کد آسیب پذیر خود ، یک توسعه دهنده Western Digital فعالانه در حال حذف کدی بود که نیاز به رمز عبور کاربر معتبر داشت قبل از اینکه اجازه دهد تنظیم مجدد کارخانه ادامه یابد.

انجام شد و لغو شد

آسیب پذیری بدون سند در فایلی با نام مناسب system_factory_restore قرار دارد. این شامل یک اسکریپت PHP است که یک تنظیم مجدد را انجام می دهد که به کاربران امکان می دهد تمام تنظیمات پیش فرض را بازیابی کرده و تمام داده های ذخیره شده در دستگاه ها را حذف کنند.

به طور معمول ، و به همین دلیل ، برای بازنشانی کارخانه ، درخواست کننده باید رمز ورود کاربر را ارائه دهد. این احراز هویت اطمینان می دهد که دستگاه های در معرض اینترنت فقط توسط مالک قانونی قابل تنظیم مجدد هستند نه توسط یک هکر مخرب.

همانطور که اسکریپت زیر نشان می دهد ، یک توسعه دهنده Western Digital پنج خط کد ایجاد کرده است تا از دستور تنظیم مجدد با رمز عبور محافظت کند. همانطور که در ابتدای هر سطر با علامت دابل / نشان داده شده است ، به دلایل ناشناخته ، بررسی احراز هویت لغو یا در مورد زبان توسعه دهنده نظر داده شد.

function get($urlPath, $queryParams=null, $ouputFormat="xml"){
// if(!authenticateAsOwner($queryParams))
// {
// header("HTTP/1.0 401 Unauthorized");
// return;
// }

“HD مور” ، متخصص امنیت و مدیر عامل پلت فرم کشف شبکه رامبل ، گفت: “ارائه دهنده ای که در مورد احراز هویت در نقطه پایانی بازیابی سیستم اظهار نظر می کند ، واقعاً چیزها را برای آنها خوب جلوه نمی دهد.” گویی آنها به عمد اجازه عبور از کنار جاده را داده اند.

برای سو explo استفاده از این آسیب پذیری ، یک مهاجم باید فرم درخواست XML را که باعث بازنشانی شده است ، بداند. به آسانی زدن هر URL با درخواست GET آسان نیست ، اما [it’s] مور گفت: “

عزیزم ، داده های من کجاست؟

کشف دومین سوit استفاده پنج روز پس از آن انجام شد که مردم در سراسر جهان گزارش دادند دستگاه های My Book Live آنها به خطر افتاده و سپس کارخانه را بازنشانی کرده تا تمام داده های ذخیره شده پاک شوند. My Book Live یک دستگاه ذخیره سازی به اندازه کتاب است که برای اتصال به شبکه های خانگی و اداری از جک اترنت استفاده می کند تا رایانه های متصل بتوانند به داده های موجود در آن دسترسی پیدا کنند. کاربران مجاز همچنین می توانند به پرونده های خود دسترسی پیدا کرده و از طریق اینترنت تغییرات پیکربندی را انجام دهند. وسترن دیجیتال در سال 2015 پشتیبانی از My Book Live را متوقف کرد.

کارکنان وسترن دیجیتال پس از بررسی توده ای ، مشاوره ای مبنی بر نتیجه گیری بهره برداری از مهاجمان CVE-2018-18472 صادر کردند. آسیب پذیری اجرای دستور از راه دور در اواخر سال 2018 توسط محققان امنیتی پاولوس جیبلو و دانیل اسکتو کشف شد. از زمانی که سه سال پس از آنکه Western Digital از پشتیبانی My Book Live متوقف شد ، این شرکت هرگز این مشکل را برطرف نکرد.

تجزیه و تحلیل توسط ارس و درک عبدین ، ​​مدیر فنی شرکت امنیتی Censys ، نشان داد که دستگاه های تحت تأثیر هک گسترده هفته گذشته نیز با استفاده از آسیب پذیری تنظیم مجدد غیر مجاز مورد حمله قرار گرفتند. بهره اضافی در سیاهههای مربوط به استخراج شده از دو دستگاه هک شده ثبت شده است.

یکی از خاطرات روزانه در انجمن پشتیبانی دیجیتال وسترن منتشر شد ، جایی که سازش گسترده برای اولین بار آشکار شد. این نشان می دهد که شخصی از آدرس IP 94.102.49.104 با موفقیت یک دستگاه را بازیابی می کند:

rest_api.log.1: 23 ژوئن 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 PARAMETER System_factory_restore POST: حذف = هیچ
rest_api.log.1: 23 ژوئن 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 EXIT System_factory_restore SUCCESS SET

پرونده ورود به سیستم دوم که از دستگاه هک شده My Book Live دریافت کردم آدرس IP متفاوتی را نشان می دهد – 23.154.177.131 – با استفاده از همان آسیب پذیری. در اینجا خطوط کنترل وجود دارد:

16 ژوئن 07:28:41 MyBookLive REST_API[28538]: 23.154.177.131 PARAMETER System_factory_restore POST: حذف = قالب
16 ژوئن 07:28:42 MyBookLive REST_API[28538]: 23.154.177.131 EXIT System_factory_restore SUCCESS SET

پس از ارائه این یافته ها به Western Digital ، تأیید زیر را دریافت کردم: “ما می توانیم تأیید کنیم که حداقل در برخی موارد ، مهاجمان از آسیب پذیری تزریق دستور (CVE-2018-18472) و به دنبال آن آسیب پذیری تنظیمات کارخانه استفاده کردند. مشخص نیست که چرا مهاجمان از هر دو آسیب پذیری استفاده کرده اند. ما برای آسیب پذیری تنظیمات کارخانه CVE درخواست خواهیم کرد و برای درج این اطلاعات خبرنامه خود را به روز می کنیم. “

این آسیب پذیری با رمز عبور محافظت می شود

این کشف یک سوال آزار دهنده ایجاد می کند: اگر هکرها با استفاده از CVE-2018-18472 قبلاً دسترسی ریشه ای کامل پیدا کرده اند ، چه نیازی به این نقص امنیتی دوم داشتند؟ پاسخ روشنی وجود ندارد ، اما بر اساس شواهد موجود ، عبدین نظریه قابل قبولی ارائه داد – این که یک هکر ابتدا از CVE-2018-18472 بهره برداری کرد ، و یک هکر رقیب بعداً با استفاده از آسیب پذیری دیگر سعی در کنترل کنترل قبلی خود داشت دستگاه ها

مهاجمی که از CVE-2018-18472 بهره برداری می کند ، از قابلیت اجرای کد استفاده کرده و برای تغییر فایلی در پشته My Book Live به نام language_configuration.php که آسیب پذیری در آن وجود دارد ، استفاده می کند. با توجه به فایل بازیابی شده ، اصلاحات خطوط زیر را اضافه می کند:

}
function put($urlPath, $queryParams=null, $ouputFormat="xml"){
if(!isset($changes["submit"]) || sha1($changes["submit"]) != "05951edd7f05318019c4cfafab8e567afe7936d4")
{
die();
}

این تغییر از سو anyone استفاده از آسیب پذیری بدون رمز عبور ، که مربوط به هش رمزنگاری SHA1 05951edd7f05318019c4cfafab8e567afe7936d4 است ، جلوگیری می کند. به نظر می رسد که رمز عبور این هش p $ EFx3tQWoUbFc٪ B٪ R $ k @ است. متن ساده در گزارش بازیابی شده در اینجا ظاهر می شود.

یک فایل زبان_configuration.php اصلاح شده جداگانه از دستگاه هک شده از رمز عبور متفاوتی استفاده می کند که مربوط به هش 56f650e16801d38f47bb0eeac39e21a8142d7da1 است. هکرها از هش سوم – b18c3795fd377b51b7925b2b68ff818cc9115a47 – برای محافظت با رمز عبور از یک پرونده جداگانه به نام accessDenied.php استفاده کردند. درصورتیکه وسترن دیجیتال به روزرسانی ای را انجام دهد که پیکربندی زبان را وصله داده باشد ، احتمالاً به عنوان بیمه نامه انجام شده است.

تاکنون تلاش برای شکستن این دو هش دیگر بی نتیجه مانده است.

طبق اطلاعات مشاوره ای وسترن دیجیتال در بالا ، برخی از دستگاه های My Book Live که با استفاده از CVE-2021-18472 هک شده اند ، به بدافزاری به نام .nttpd، 1-ppc-be-t1-z آلوده شده اند که برای اجرا بر روی سخت افزار PowerPC استفاده شده است توسط دستگاههای My Book Live. یکی از کاربران در انجمن پشتیبانی گزارش My Book Live را هک کرده است که این بدافزار را دریافت کرده و دستگاه ها را به عنوان یک botnet به نام Linux.Ngioweb تبدیل کرده است.

نظریه ای ظهور می کند

پس چرا کسی که با موفقیت بسیاری از دستگاه های My Book Live را در یک botnet اشتباه گرفته است ، برمی گردد و آنها را حذف و تنظیم می کند؟ و چرا کسی از بای پس غیر مستند برای احراز هویت استفاده می کند در حالی که از قبل دسترسی ریشه دارد.

محتمل ترین پاسخ این است که پاک کردن و بازنشانی دسته جمعی توسط مهاجمی متفاوت انجام شده است ، به احتمال زیاد حریفی که یا بدون موفقیت سعی در کنترل بات نت حریف را داشته یا به سادگی قصد خرابکاری آن را داشته است.

“در مورد دلیل انتشار این مطلب [system_factory_restore] نقطه پایانی در مقیاس انبوه ناشناخته است ، اما می توان سعی کرد که یک اپراتور ربات رقیب این دستگاه ها را تصاحب کند یا آنها را بی فایده کند ، یا کسی که می خواهد بات نت دیگری را که احتمالاً مدتی است وجود دارد را به هم بخورد ، به هم بخورد عبدین در پست اخیر وبلاگ خود نوشت: “از سال 2015 وجود داشته است.”

کشف این آسیب پذیری دوم به این معنی است که دستگاه های My Book Live حتی بیش از آنچه فکر می کردند ناامن هستند. این امر به درخواست وسترن دیجیتال برای قطع ارتباط همه کاربران از اینترنت توسط کاربران کمک می کند. هر کسی که از یکی از این دستگاه ها استفاده می کند باید فوراً تماس را بشنود.

برای بسیاری از کاربران هک شده که سالها یا دهه ها داده های خود را از دست داده اند ، احتمالا فکر خرید دستگاه ذخیره سازی Western Digital دیگر دور از ذهن است. با این حال ، عبدین می گوید دستگاه های My Cloud Live که جایگزین محصولات My Digital Live وسترن دیجیتال شده اند دارای کد کد متفاوتی هستند که هیچ یک از نقاط آسیب پذیر مورد استفاده در حذف گسترده اخیر را ندارد.

او به من گفت: “من همچنین به سیستم عامل My Cloud نگاه کردم.” “دوباره بازنویسی شده و شباهت خاصی با کد My Live Live دارد. بنابراین او مشکلات مشابهی ندارد. “

[ad_2]

منبع: tarjome-news.ir