В атаке на сетевые хранилища WD хакеры пользовались системным скриптом, в котором была удалена проверка пароля

На прошлой неделе владельцы сетевых хранилищ Western Digital My Book Live столкнулись с атакой вредоносного программного обеспечения, которое сбрасывает до заводских настройки устройства, уничтожая в большинстве случаев хранящиеся на нём пользовательские данные. Теперь же стало известно, что хакеры использовали уязвимость нулевого дня, эксплуатация которой позволяет удалённо сбросить настройки упомянутых сетевых хранилищ до заводских.

В атаке на сетевые хранилища WD хакеры пользовались системным скриптом, в котором была удалена проверка пароля

Изображение: Getty Images

Эта уязвимость примечательна тем, что с её помощью злоумышленники без особого труда смогли уничтожить петабайты пользовательских данных. Ещё более примечательно то, что разработчики WD по неизвестным причинам избавились от функции проверки имени пользователя и пароля при выполнении команды на сброс настроек. Недокументированная уязвимость находится в файле прошивки system_factory_restore, который содержит в себе сценарий PHP для сброса настроек до заводских с полным удалением хранящихся данных.

Обычно для выполнения команды на сброс настроек требуется подтверждение данного действия паролем. В этом случае ввод пароля является гарантией, что настройки подключённого к интернету устройства не будут сброшены удалённо злоумышленником. В упомянутом файле сценария содержатся пять строк кода, которые отвечают за вывод запроса на подтверждение сброса настроек паролем. Однако по неизвестным причинам эта часть кода оказалась закомментирована разработчиками.

В атаке на сетевые хранилища WD хакеры пользовались системным скриптом, в котором была удалена проверка пароля

Изображение: Ars Technica

Информация о недокументированной уязвимости появилась через несколько дней после атаки вредоносного ПО. Ранее WD объявила о том, что для сброса настроек сетевых хранилищ хакеры использовали старую уязвимость CVE-2018-18472, которая позволяет осуществить удалённое выполнение кода. Хотя об этой уязвимости стало известно ещё в 2018 году, WD так и не исправила её, поскольку поддержка устройств My Book Live была прекращена за несколько лет до этого.

В WD прокомментировали, что по крайней мере в некоторых случаях хакеры использовали для атаки на My Book Live уязвимость CVE-2018-18472, а уже после этого эксплуатировали вторую уязвимость, которая позволяет сбросить настройки до заводских. Но это объяснение выглядит странным, поскольку после эксплуатации первой уязвимости злоумышленник уже имеет возможность удалённого выполнения любого кода, и в использовании второй уязвимости нет никакой необходимости.

Такое поведение может объясняться разве только действиями разных хакеров. Сначала неизвестный злоумышленник использовал уязвимость CVE-2018-18472 для получения контроля над устройствами и включения их в ботнет. А позднее конкурирующий хакер использовал неизвестную ранее уязвимость для удалённого сброса настроек, чтобы попытаться перехватить контроль над сетевыми хранилищами. Эта теория выглядит наиболее правдоподобной, поскольку другим способом объяснить поведение хакеров сложно.


Влад Кулиев, Supreme2.Ru

Коды для вставки в блог\форум




Интересные новости
Vodafone завершила покупку интернет-провайдера VegaVodafone завершила покупку интернет-провайдера Vega
Глава НБУ предупредил. Мошенники присылают сообщения от его имени в FacebookГлава НБУ предупредил. Мошенники присылают сообщения от его имени в Facebook
Без доступа. Портал «Дія» сутки будет недоступным из-за обновленийБез доступа. Портал «Дія» сутки будет недоступным из-за обновлений
Польша экстрадировала в США украинца, который "торговал" компьютерными паролямиПольша экстрадировала в США украинца, который "торговал" компьютерными паролями
В РоSSии могут замедлить зарубежный сегмент интернета до уровня 24 Кбит / с, - расследователь BellingcatВ РоSSии могут замедлить зарубежный сегмент интернета до уровня 24 Кбит / с, - расследователь Bellingcat
Блок рекламы


Похожие новости

Польша экстрадировала в США украинца, который "торговал" компьютерными паролямиПольша экстрадировала в США украинца, который "торговал" компьютерными паролями
"Яндекс" на выходных подвергся самой крупной в истории рунета кибератаке"Яндекс" на выходных подвергся самой крупной в истории рунета кибератаке
Хакеры похитили из МИД Литвы информацию под грифом "секретно"Хакеры похитили из МИД Литвы информацию под грифом "секретно"
Хакеры взломали серверы Gigabyte, зашифровали данные и требуют выкупХакеры взломали серверы Gigabyte, зашифровали данные и требуют выкуп
Хакеры атаковали сервис записи на вакцинацию от ковида в РимеХакеры атаковали сервис записи на вакцинацию от ковида в Риме
РоSSийские хакеры взломали е-почту федеральных прокуроров, - Минюст СШАРоSSийские хакеры взломали е-почту федеральных прокуроров, - Минюст США
Китай отверг обвинения в хакерской атаке на Microsoft Exchange ServerКитай отверг обвинения в хакерской атаке на Microsoft Exchange Server
США обвинили Китай в кибершпионаже и атаке на Microsoft ExchangeСША обвинили Китай в кибершпионаже и атаке на Microsoft Exchange
Хакеры осуществили кибератаки на сайты президента и СБУ, - ГосспецсвязиХакеры осуществили кибератаки на сайты президента и СБУ, - Госспецсвязи
Хакеры украли у полиции Новой Зеландии $32 тыс. в биткоинахХакеры украли у полиции Новой Зеландии $32 тыс. в биткоинах
Последние новости

Подгружаем последние новости