Μια ευπάθεια zero-day στις συσκευές Western Digital My Book Live NAS επέτρεψε σε έναν απειλητικό παράγοντα να εκτελέσει μαζικές εργοστασιακές επαναφορές ρυθμίσεων την περασμένη εβδομάδα, οδηγώντας σε απώλεια δεδομένων.

Δείτε επίσης: Adobe Experience Manager: Ερευνητές ανακάλυψαν zero-day ευπάθεια

Την περασμένη εβδομάδα, κυκλοφόρησε η ιστορία ότι οι ιδιοκτήτες της Western Digital My Book Live NAS ανακάλυψαν ξαφνικά ότι τα αποθηκευμένα αρχεία τους είχαν εξαφανιστεί μυστηριωδώς. Δυστυχώς, η εργοστασιακή επαναφορά επαναφέρει και τους κωδικούς πρόσβασης διαχειριστή, έτσι οι χρήστες δεν μπορούσαν να συνδεθούν στις συσκευές τους μέσω του web dashboard ή SSH.

Αφού μερικοί χρήστες ανέλυσαν τα logs της συσκευής, διαπίστωσαν ότι στις 24 Ιουνίου, ένα script που ονομάζεται factoryRestore.sh εκτελέστηκε στις συσκευές τους, το οποίο κάνει wipe τα αρχεία της συσκευής.

Δείτε επίσης: Ευπάθεια σε συσκευές Cisco ASA: Χάκερ την εκμεταλλεύονται ενεργά

Η Western Digital είχε αρχικά πει στο BleepingComputer ότι οι επιθέσεις διεξήχθησαν μέσω μιας ευπάθειας του 2018 που αναφέρθηκε ως CVE-2018-18472, η οποία δεν επιδιορθώθηκε καθώς η συσκευή ήταν εκτός υποστήριξης από το 2015.

Αποδεικνύεται ότι ενώ οι απειλητικοί παράγοντες χρησιμοποίησαν αυτήν την ευπάθεια σε επιθέσεις εναντίον των συσκευών My Book Live, στην πραγματικότητα μια διαφορετική ευπάθεια zero-day ήταν υπεύθυνη για την επαναφορά των εργοστασιακών ρυθμίσεων.

Zero-day που χρησιμοποιείται για την εκτέλεση επαναφοράς εργοστασιακών ρυθμίσεων

Μια έκθεση του Censys CTO Derek Abdine αποκάλυψε ότι το πιο πρόσφατο firmware για τις συσκευές My Book Live περιείχε ευπάθεια zero-day που επέτρεψε σε έναν απομακρυσμένο εισβολέα να πραγματοποιήσει επαναφορά εργοστασιακών ρυθμίσεων σε συσκευές συνδεδεμένες στο Internet.

Ενώ η εκτέλεση εργοστασιακών ρυθμίσεων επιτρέπεται συνήθως μέσω απομακρυσμένων κονσολών διαχείρισης, απαιτείται πάντα από έναν διαχειριστή να πραγματοποιήσει έλεγχο ταυτοποίησης στη συσκευή πρώτα.

Στο script system_factory_restore στο firmware του My Book Live, έγιναν comment out οι έλεγχοι ταυτοποίησης, επιτρέποντας σε οποιονδήποτε με πρόσβαση στη συσκευή να πραγματοποιήσει επαναφορά εργοστασιακών ρυθμίσεων.

Δείτε επίσης: Tor Browser Update: Διορθώνεται σοβαρή ευπάθεια

Σε ένα script που κοινοποιήθηκε από τον Dan Goodin της Ars Technica, μπορείτε να δείτε τις συναρτήσεις get() και post() με ελέγχους ελέγχου ταυτότητας να γίνονται comment out για κάποιο λόγο από έναν προγραμματιστή της Western Digital.

Για όσο οι απειλητικοί παράγοντες μπορούν να καθορίσουν τις σωστές παραμέτρους στο endpoint, θα μπορούσαν να εκτελέσουν μια μαζική επαναφορά εργοστασιακών ρυθμίσεων σε συσκευές παγκοσμίως.

Πηγή πληροφοριών: bleepingcomputer.com