“Закомментированная” защита устройств WD стала козырем в войнах ботнетов

1 июль, 2021 - 11:18Виталий Кобальчинский

Халатность одного из разработчиков Western Digital оказалась подлинной причиной массового обнуления настроек и содержимого сетевых накопителей WD My Book Live, приведшего не только к потере петабайт пользовательских данных, но и к нарушению работы преступного ботнета, построенного на этих устройствах.

Согласно анализу самого уязвимого кода, выполненному фирмой кибербезопасности Censys, предусмотренная в My Book Live проверка аутентичности пользователя (пять строк кода PHP в файле system_factory_restore) по неизвестным причинам оказалась закомментированной двойным символом ”/“ в начале каждой строки.

function post($urlPath, $queryParams = null, $ouputFormat = 'xml') {
    // if(!authenticateAsOwner($queryParams))
    // {
    //      header("HTTP/1.0 401 Unauthorized");
    //      return;
    // }

Это открытие было сделано через пять дней после того, как владельцы My Book Live во всем мире сообщили, что их устройства были взломаны и возвращены на заводские настройки с удалением всех хранившихся данных.

Сотрудники Western Digital сначала заявили, что массовое стирание данных произошло в результате использования злоумышленниками CVE-2018-18472. Эта уязвимости удалённого выполнения команд была обнаружена в конце 2018 года, но не была исправлена, так как тремя годами ранее Western Digital прекратила поддержку My Book Live.

Позже, под давлением фактов, предоставленных фирмой Censys, WD скорректировала свою позицию: «Мы можем подтвердить, что по крайней мере в некоторых случаях злоумышленники после CVE-2018-18472 использовали уязвимость заводского сброса настроек».

И в самом деле, некоторые из пострадавших устройств My Book Live были взломаны с помощью CVE-2021-18472 после чего были заражены вредоносным ПО .nttpd,1-ppc-be-t1-z, что сделало их частью ботнета под названием Linux.Ngioweb.

Однако зачем кому-то, кто успешно скомпрометировал столько My Book Live вдруг ломать исправно функционирующий ботнет? Больше того, зачем при наличии полноценного root-доступа использовать для сброса настроек недокументированный обход аутентификации?

Готовых ответов пока не имеется, но Censys в своем недавнем блоге выдвинула вполне правдоподобную гипотезу: «… это может быть попытка конкурирующего оператора ботнета захватить эти устройства или сделать их бесполезными, либо это действия кого-то ещё, желавшего обвалить ботнет, работавший как бы не с 2015 года, когда эти уязвимости возникли».

Обнаружение второй уязвимости добавляет веса рекомендации Western Digital всем пользователям срочно отключить свои My Book Live от Интернета, но несомненно, наносит урон репутации этой компании, как производителя безопасных устройств.

Тем не менее, Censys утверждает, что серия My Cloud Live, пришедшая на смену My Book Live от Western Digital, имеет другую кодовую базу, которая не содержит ни одной из уязвимостей, задействованных в июньском массовом инциденте.

Со своей стороны, Western Digital вчера объявила, что с начала июля будет предоставлять услуги по восстановлению данных бесплатно. Кроме того, клиенты My Book Live получат право на  участие в программе трейд-ин для замены своих устройств на My Cloud. Компания также предоставила дополнительные технические подробности о второй уязвимости, который получила наименование CVE-2021-35941.