För en knapp vecka sedan rekommenderade företaget Western Digital samtliga användare med en NAS-enhet av modellen My Book Live eller My Book Live Duo att genast koppla bort dem från nätverket. Detta då användare rapporterat att deras enheter plötsligt kapats och återställts, vilket orsakat all data att raderas.
Enligt Western Digital skulle angreppet bero på en säkerhetsbrist som möjliggjorde åtkomst och fjärrkommandon med hjälp av enhetens IP-adress. Sårbarheten upptäcktes redan 2018, men åtgärdades aldrig då företaget vid upptäckten redan avslutat all support för den påverkade modellen. Nu framgår det att två sårbarheter nyttjats, där den andra är en tio år gammal zero-day exploit som funnits där sedan produkterna lanserades.
There appears to be an unauthenticated zero-day vulnerability with an endpoint aptly named system_factory_restore. This PHP REST endpoint has authentication code commented out (disabled) at the top (yes, this is in the latest shipping firmware, which was from 2015 as these devices are no longer supported by Western Digital). - Censys
Genom att undersöka en hackad enhet avslöjar Ars Technica med hjälp av en IT-säkerhetsexpert att vissa enheter utsatts för två angrepp. Den gamla sårbarheten gör det möjligt att återställa enheten utan att utlösa något autentiseringsprotokoll, som annars hade krävt ett korrekt lösenord för att utföra det. Den källkod som skulle utlöst en verifiering var utkommenterad, det vill säga skriven men inte aktiv. Av allt att döma var det inte det första angreppet som raderade filerna, utan det användes för att infektera NAS-enheterna och ansluta dem till ett botnät.
We have determined that the unauthenticated factory reset vulnerability was introduced to the My Book Live in April of 2011 as part of a refactor of authentication logic in the device firmware. The refactor centralized the authentication logic into a single file, which is present on the device as includes/component_config.php and contains the authentication type required by each endpoint. In this refactor, the authentication logic in system_factory_restore.php was correctly disabled, but the appropriate authentication type of ADMIN_AUTH_LAN_ALL was not added to component_config.php, resulting in the vulnerability. – Talesperson för Western Digital
Western Digital bekräftar att det rör sig om två angrepp och att Censys utredning stämmer, men att det sträcker sig hela vägen tillbaka till 2011. Den fråga som kvarstår är varför någon valt att utnyttja båda delar. Om en hackare eller grupp hackare redan anslutit enheten till ett botnät har de tillräcklig åtkomst för att inte behöva nyttja den andra sårbarheten för att radera allt innehåll. Enligt Ars Technica är det dessutom ett underligt val att lägga ned tid på att ansluta flertalet enheter, för att sedan radera allt. De presenterar istället en teori om att det kan röra sig om en annan hackare eller hackergrupp som försökt sabotera för ägaren till botnätet. Användare som förlorade sin data kan helt enkelt ha blivit vådabeskjutna i en konflikt mellan två andra parter.
Upptäckten av ytterligare en sårbarhet innebär att enheterna har betydligt allvarligare säkerhetsbrister än först trott. Användare som äger någon av dem men inte har kopplat ur dem rekommenderas rekommenderas göra detta så fort som möjligt genom att dra ut nätverkskabeln. Nyare NAS-enheter från Western Digital ska använda en annan kodbas och därmed inte påverkas av någon av de uppdagade säkerhetsbristerna.
