Los piratas informáticos explotaron el error de día 0, no de 2018, para borrar en masa dispositivos My Book Live

Los piratas informáticos explotaron el error de día 0, no de 2018, para borrar en masa dispositivos My Book Live

imágenes falsas

La limpieza masiva de dispositivos de almacenamiento Western Digital My Book Live la semana pasada implicó la explotación de no solo una vulnerabilidad, sino un segundo error de seguridad crítico que permitió a los piratas informáticos realizar de forma remota un restablecimiento de fábrica sin una contraseña, según muestra una investigación.

La vulnerabilidad es notable no solo porque hizo que sea trivial borrar lo que probablemente sean petabytes de datos del usuario. Más notable aún fue el hecho de que, de acuerdo con el código vulnerable en sí, un desarrollador de Western Digital eliminó activamente el código que requería una contraseña de usuario válida antes de permitir que procediera el restablecimiento de fábrica.

Hecho y deshecho

La vulnerabilidad no documentada residía en un archivo llamado system_factory_restore. Contiene un script PHP que realiza reinicios, lo que permite a los usuarios restaurar todas las configuraciones predeterminadas y borrar todos los datos almacenados en los dispositivos.

Normalmente, y por una buena razón, los restablecimientos de fábrica requieren que la persona que realiza la solicitud proporcione una contraseña de usuario. Esta autenticación garantiza que los dispositivos expuestos a Internet solo puedan ser restablecidos por el propietario legítimo y no por un pirata informático malintencionado.

Como el siguiente guión Sin embargo, muestra que un desarrollador de Western Digital creó cinco líneas de código para proteger con contraseña el comando de restablecimiento. Por razones desconocidas, la verificación de autenticación se canceló o, en el lenguaje del desarrollador, se comentó como lo indica el carácter doble / al comienzo de cada línea.

function get($urlPath, $queryParams=null, $ouputFormat="xml"){
// if(!authenticateAsOwner($queryParams))
// {
// header("HTTP/1.0 401 Unauthorized");
// return;
// }

“El hecho de que el proveedor comente la autenticación en el punto final de restauración del sistema realmente no hace que las cosas se vean bien para ellos”, me dijo HD Moore, un experto en seguridad y director ejecutivo de la plataforma de descubrimiento de redes Rumble. “Es como si hubieran habilitado intencionalmente el bypass”.

Para aprovechar la vulnerabilidad, el atacante habría tenido que conocer el formato de la solicitud XML que desencadena el restablecimiento. Eso “no es tan fácil como acceder a una URL aleatoria con una solicitud GET, pero [it’s] tampoco tan lejos ”, dijo Moore.

Amigo, ¿dónde están mis datos?

El descubrimiento del segundo exploit se produce cinco días después de que personas de todo el mundo informaron que sus dispositivos My Book Live se habían comprometido y luego se restablecieron de fábrica para que se borraran todos los datos almacenados. My Book Live es un dispositivo de almacenamiento del tamaño de un libro que utiliza un conector Ethernet para conectarse a redes domésticas y de oficina, de modo que las computadoras conectadas tengan acceso a los datos que contiene. Los usuarios autorizados también pueden acceder a sus archivos y realizar cambios de configuración a través de Internet. Western Digital dejó de respaldar My Book Live en 2015.

Personal de Western Digital publicó un aviso tras la limpieza masiva que decía que era el resultado de los atacantes que explotaban CVE-2018-18472. La vulnerabilidad de ejecución remota de comandos fue descubierto a finales de 2018 por los investigadores de seguridad Paulos Yibelo y Daniel Eshetu. Debido a que salió a la luz tres años después de que Western Digital dejó de admitir My Book Live, la compañía nunca lo arregló.

Un análisis realizado por Ars y Derek Abdine, director de tecnología de la empresa de seguridad Censys, descubrió que los dispositivos afectados por el ataque masivo de la semana pasada también habían sido objeto de ataques que explotaban la vulnerabilidad de reinicio no autorizado. El exploit adicional está documentado en archivos de registro extraídos de dos dispositivos pirateados.

Uno de los registros fue al corriente en el Western Digital Foro de soporte donde el compromiso de masas salió a la luz por primera vez. Muestra a alguien de la dirección IP 94.102.49.104 restaurando exitosamente un dispositivo:

rest_api.log.1: 23 de junio 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 PARAMETER System_factory_restore POST: erase = none
rest_api.log.1: 23 de junio 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 SALIDA System_factory_restore POST ÉXITO

A segundo archivo de registro Obtuve de un dispositivo My Book Live pirateado que mostraba una dirección IP diferente, 23.154.177.131, que explotaba la misma vulnerabilidad. Aquí están las líneas reveladoras:

16 de junio 07:28:41 MyBookLive REST_API[28538]: 23.154.177.131 PARAMETER System_factory_restore POST: erase = formato
16 de junio 07:28:42 MyBookLive REST_API[28538]: 23.154.177.131 SALIDA System_factory_restore POST ÉXITO

Después de presentar estos hallazgos a los representantes de Western Digital, recibí la siguiente confirmación: “Podemos confirmar que en al menos algunos de los casos, los atacantes explotaron la vulnerabilidad de inyección de comandos (CVE-2018-18472), seguida de la vulnerabilidad de restablecimiento de fábrica. No está claro por qué los atacantes aprovecharon ambas vulnerabilidades. Solicitaremos un CVE para la vulnerabilidad de restablecimiento de fábrica y actualizaremos nuestro boletín para incluir esta información “.

Esta vulnerabilidad ha sido protegida con contraseña

El descubrimiento plantea una pregunta irritante: si los piratas informáticos ya habían obtenido acceso root completo mediante la explotación de CVE-2018-18472, ¿qué necesidad tenían de esta segunda falla de seguridad? No hay una respuesta clara, pero según la evidencia disponible, Abdine ha llegado a una teoría plausible: que un pirata informático explotó por primera vez CVE-2018-18472 y un pirata informático rival luego explotó la otra vulnerabilidad en un intento de arrebatar el control de los que ya estaban comprometidos. dispositivos.

El atacante que explotó CVE-2018-18472 utilizó la capacidad de ejecución de código que proporcionó para modificar un archivo en la pila de My Book Live llamado language_configuration.php, que es donde se encuentra la vulnerabilidad. De acuerdo a una archivo recuperado, la modificación agregó las siguientes líneas:

}
function put($urlPath, $queryParams=null, $ouputFormat="xml"){
if(!isset($changes["submit"]) || sha1($changes["submit"]) != "05951edd7f05318019c4cfafab8e567afe7936d4")
{
die();
}

El cambio impidió que alguien aprovechara la vulnerabilidad sin la contraseña que corresponde al hash criptográfico SHA1 05951edd7f05318019c4cfafab8e567afe7936d4. Resulta que la contraseña para este hash es p $ EFx3tQWoUbFc% B% R $ k @. El texto sin formato aparece en el archivo de registro recuperado aquí.

A archivo language_configuration.php modificado por separado recuperado de un dispositivo pirateado utilizó una contraseña diferente que corresponde al hash 56f650e16801d38f47bb0eeac39e21a8142d7da1. Los piratas informáticos utilizaron un tercer hash, b18c3795fd377b51b7925b2b68ff818cc9115a47, para proteger con contraseña un archivo separado llamado accessDenied.php. Probablemente se hizo como una póliza de seguro en caso de que Western Digital lanzara una actualización que parcheara language_configuration.

Hasta ahora, los intentos de descifrar estos otros dos hashes no han tenido éxito.

Según el aviso de Western Digital vinculado anteriormente, algunos de los dispositivos My Book Live pirateados con CVE-2021-18472 estaban infectados con un malware llamado .nttpd, 1-ppc-be-t1-z, que fue escrito para ejecutarse en el hardware PowerPC utilizado por los dispositivos My Book Live. Un usuario en el foro de soporte informó una recepción pirateada de My Book Live este malware, cual hace que los dispositivos formen parte de una botnet llamado Linux.Ngioweb.

Surge una teoría

Entonces, ¿por qué alguien que logró convertir tantos dispositivos My Book Live en una red de bots daría la vuelta y los borraría y restablecería? ¿Y por qué alguien usaría una omisión de autenticación indocumentada cuando ya tiene acceso de root?

La respuesta más probable es que el borrado y reinicio masivo fue realizado por un atacante diferente, muy posiblemente un rival que intentó, sin éxito, tomar el control de la botnet del rival o simplemente quería sabotearlo.

“En cuanto al motivo para publicar en este [system_factory_restore] endpoint a gran escala, se desconoce, pero podría ser un intento de que un operador de botnet rival se haga cargo de estos dispositivos o los inutilice, o alguien que quisiera interrumpir de otro modo la botnet que probablemente ha existido durante algún tiempo, ya que estos problemas han existido desde 2015 ”, escribió Abdine en un publicación de blog reciente.

El descubrimiento de esta segunda vulnerabilidad significa que los dispositivos My Book Live son aún más inseguros de lo que la mayoría de la gente pensaba. Agrega autoridad al llamado de Western Digital para que todos los usuarios desconecten sus dispositivos de Internet. Cualquiera que utilice uno de estos dispositivos debe atender la llamada de inmediato.

Para muchos usuarios pirateados que perdieron años o décadas de datos, la idea de comprar otro dispositivo de almacenamiento Western Digital probablemente esté fuera de discusión. Abdine, sin embargo, dice que los dispositivos My Cloud Live, que reemplazaron a los productos My Book Live de Western Digital, tienen una base de código diferente que no contiene ninguna de las vulnerabilidades explotadas en la reciente limpieza masiva.

“También eché un vistazo al firmware de My Cloud”, me dijo. “Está reescrito y tiene cierta semejanza, pero en su mayoría poco, con el código de My Book Live. Así que no comparte los mismos problemas “.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.