Il y a quelques jours, nous avons rencontré l'un des hacks les plus sérieux nous pouvons nous souvenir des années, où Disques durs externes WD My Book Live peut comprendre un atténuateur. Connexion Internet avaient été piratés et leurs données complètement effacées. Ces disques durs réseau (NAS) avait été sans support de mise à jour depuis 2015, ce qui les rend vulnérables. Cependant, l'affaire est beaucoup plus complexe, et c'est une bagarre entre hackers qui a conduit à cette suppression.
Le 23 juillet, des foules d'utilisateurs de WD ont commencé à se plaindre que les données de leurs disques durs avaient été effacées. Lors de l'examen du journal d'effacement, certains ont découvert que quelqu'un avait exécuté à distance une commande pour réinitialiser tout le contenu des disques durs, sans demander aucun type de mot de passe.
Peut être réinitialisé sans mot de passe
Après avoir analysé l'événement, les chercheurs en sécurité ont découvert une vulnérabilité dans le système de restauration de fichiers, où un Script PHP effectue une PERSONNEL réinitialiser et supprimer toutes les données. Une telle fonction nécessite normalement la saisie d'un mot de passe de confirmation, mais lors de l'examen du code, ils ont constaté que les lignes de code qui demandaient le mot de passe étaient commentées avec // au début, elles n'étaient donc pas exécutées.
C'est une partie de la vulnérabilité, et pour l'exécuter, ils ont dû tirer parti d'une autre disponible. Les attaquants ont eu la même facilité que d'accéder à la vulnérabilité découverte en 2018 par deux chercheurs nommés Paulos Yibelo et Daniel Eshetu. La vulnérabilité a été reconnue par Western Digital et le code lui a été attribué. CVE-2018-18472 .
Cependant, comme ils ne supportaient plus ces modèles, ils ne l'ont jamais corrigé, permettant à tout attaquant qui l'aurait découvert d'en profiter. Pour ce faire, l'attaquant n'a qu'à connaître l'adresse IP de l'appareil concerné , en exécutant une exécution de code à distance.
Fait intéressant, avec la vulnérabilité CVE-2018-18472, les attaquants avaient déjà un accès complet à l'appareil et n'avaient pas besoin de profiter de la seconde. La théorie derrière cela est qu'un premier pirate informatique a profité de CVE-2018-18472, et qu'un pirate rival a ensuite tenté d'exécuter l'autre vulnérabilité pour prendre le contrôle des autres appareils et les intégrer à un botnet contrôlé par eux.
Une bataille de hackers, l'explication la plus logique
Le premier hacker a en effet modifié un fichier sur les disques durs pour y mettre un mot de passe correspondant au hachage 56f650e16801d38f47bb0eeac39e21a8142d7da1 , qui en texte clair est p $ EFx3tQWoUbFc% B% R $ k @ . Ils ont également utilisé d'autres mots de passe sur d'autres appareils et fichiers comme protection au cas où WD publierait une mise à jour qui corrigeait le premier fichier vulnérable.
Certains des disques durs piratés à l'aide de CVE-2018-18472 ont également été infectés par un logiciel malveillant appelé. nttpd, 1-ppc-être-t1-z , qui a été écrit pour s'exécuter sur Matériel PowerPC utilisé par ces appareils WD. Avec ce malware, les disques durs font partie d'un botnet appelé Linux/Unix.Ngioweb , avec lequel ils peuvent lancer des attaques DDoS.
Il est donc logique qu'un deuxième pirate informatique veuille contrôler l'appareil ou simplement vis ce hacker rival , et a exécuté la commande pour réinitialiser les disques durs . Grâce à cela, leurs propriétaires ont découvert qu'ils avaient été piratés, car sinon ils auraient pu voler plus de données sur ces disques durs. Par conséquent, il est très important de déconnecter ces appareils d'Internet et de les utiliser comme disques durs locaux. Les nouveaux appareils de WD ne sont pas affectés par ces défauts, de sorte que leurs propriétaires peuvent respirer tranquillement.
