Адрес для входа в РФ: exler.world
Из-за чего были стерты данные в NAS Western Digital
Недавно мы обсуждали историю с тем, как у пользователей NAS Western Digital после обновления были стерты все хранящиеся в NAS данные. В Engaget появилась статья, в которой вроде бы объясняется, что именно там произошло - "Hackers exploited two flaws in event that remotely wiped Western Digital devices".
То есть это результат действий хакеров, которые воспользовались найденной уязвимостью, однако что самое странное в этой истории - хакеры запускали сброс устройства, при этом такое действие должно было запрашивать пароль, и в программном обеспечении WD запрос пароля был. Но с какого-то обновления этот запрос был закомментарен (то есть это сделал кто-то внутри компании), и хакеры могли выполнить сброс устройства без запроса пароля. То есть у WD была (или есть) "крыса" внутри компании.
И это очень нехорошая история.
Upd: И еще по этому поводу интересное на Хабре. Уязвимость была известна аж с 2014 года. Но в WD по этому поводу жопу никто так и не приподнял. Упаси меня бог покупать NAS от WD.
Примечательно, что два других пользователя создали себе форки этого кода. 11 июня 2014-го и 29-го августа 2015-го. Утверждать, что о нём никто не знал... ну PR и не на такое способны :)
Получается, "неофициально", но вполне находимо (→ https://gist.github.com/phikshun) эксплоит был публично доступен 7 лет, самое позднее, когда WD получили официальный
пинокрепорт - 2018-ый. Но когда код пишется на тяп-ляп (или матерную форму сего выражения, иначе бы уязвимости не было), а задача поддержки — не ведение базы данных и введение причастных лиц в курс дела, то и получаем отписки
Заплатки не будет.
Hello My Book™ Live/My Book Live Duo Customer,
If you are a My Book Live or My Book Live Duo customer, we are offering the following limited time offer:
Trade-In Offer:
Western Digital is offering current registered My Book Live or My Book Live Duo customers a trade-in discount of 40% off a select new My Cloud™ Home personal cloud storage or My Cloud EX2 Ultra 2-bay network attached storage device. For more information regarding the trade-in offer for eligible devices, please visit My Book Live and My Book Live Duo: Trade-In Offer.
Additionally, if you are a My Book Live or My Book Live Duo customer that has lost data as result of the recent security incident, we are here to help you by offering the following service.
Data Recovery Service (“DRS”) Offer:
Western Digital will help to recover your data using the data recovery services provided by a Western Digital-selected vendor. Western Digital will cover all the costs of shipment of the qualifying product to the DRS vendor and for the DRS. Recovered data, if any, will then be sent to you on one or more My Passport™ portable hard drives. For a list of qualifying products and eligibility requirements, please visit My Book Live and My Book Live Duo: Data Recovery Offer.
At Western Digital, we strive to continually improve our products and customer experiences. To take advantage of either of these services, or if you have any questions, please contact our Western Digital Support Team.
Sincerely,
Western Digital
Hackers exploited 0-day, not 2018 bug, to mass-wipe My Book Live devices
We have determined that the unauthenticated factory reset vulnerability was introduced to the My Book Live in April of 2011 as part of a refactor of authentication logic in the device firmware. The refactor centralized the authentication logic into a single file, which is present on the device as includes/component_config.php and contains the authentication type required by each endpoint. In this refactor, the authentication logic in system_factory_restore.php was correctly disabled, but the appropriate authentication type of ADMIN_AUTH_LAN_ALL was not added to component_config.php, resulting in the vulnerability. The same refactor removed authentication logic from other files and correctly added the appropriate authentication type to the component_config.php file.
Но у меня в WD Live диск несколько лет назад накрылся, так что уже не актуально...
Вывод. В QNAP в ходе доработки прошивки внесли какой-то очень серьезный баг, а потом втихую исправили. Так как шума не было, могу предположить, что условия для возникновения бага были специфичными и проявлялся он у немногих. Однако, это свидетельствует о том, что в QNAP тоже криворукие работают и неприятно, что даже в описании новых прошивок они решили не уведомлять никого об устранении подобного бага.
Надо сказать, что многие пользователи наверняка активно пользуются накопителями 15-летней давности, которые не обновлялись уже лет 10, и какие там уязвимости сидят и ждут своего часа - никто не знает.
А тот, кто проводил ревью изменений, это дело пропустил.
А потом при мерже в продакшн-стрим снова никто не заметил (ведь не может же такого быть, чтобы можно было сабмитить напрямую в продакшн?)
А среди квалификационных тестов не оказалось соответствующего теста на проверку секьюрности.
Короче, WD - это целая система раздолбайства, от которой надо держаться подальше.
Если чукча, то простительно. (простите, Чукчи)
Взлом связан с обновлением прошивки!
The My Book Live series was introduced to the market in 2010 and these devices received their final firmware update in 2015. [1]
Перевод нужен?
Да и потом, как написано, в паблике эта дыра с 2014 года, т.е. если бы кто-то додумался до этой атаки ещё тогда, то вся поддержка WD (закончилась в 2015) вам бы не помогла...
О Первой - удаленный доступ - стало известно в 2014г.
Вторая - отмена запроса пароля - была ещё раньше.
И WD знала об этом как минимум с 2018 но не желала выпускать обновление для таких старых устройств, т.к. денег же не приносит - устройства уже проданы...
Хотя уверен, что это было сделано для упрощения тестов, а потом просто забыли убрать при релизе.
Или все же касается только устройств с открытыми портами, тем более ранее инфицированных?
Или же распространялась инфицированная прошивка с бэкдором?
Или же девайс облачный, с аккаунтом в облаке WD, постоянно держит коннект с ним, а накосорезили уже из облака? (Облака производителей зло.)
И не сказать, что админы криворукие. Просто им каждый год так согласовывают бюджет на ИТ-безопасность, что часть серверов работает до сих пор на Windows Server 2003 и 2008.
И по итогам аудита было принято решение... закрыть это всё процедурами, а не обновлением хотя бы критично устаревшего ПО.
Последние прошивки на WD Live были аж в 2015 году.
Что ж вы никак читать-то не научитесь, и вините всегда "обновления прошивки".
Вкратце, любой браузер в локалке загружает вредоносную страницу в инете, внутри код, который обращается к локальному NAS по имени и исполняет код
У длинк DSL, кстати, давно была дыра, он по URL на устройство с определенным параметром светил админский пароль.
Да и смысл так крысятничать, если в репозитории все ходы записаны.
«Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью»
в любом случае, что-то не очень у них хорошие альтернативы в этой проблеме.
Или же кратко:
"Миром правит не тайная ложа, а явная лажа"
;)