WD zablokoval kód, který by dokázal zabránit ztrátě dat uživatelů My Book Live

Řada majitelů My Book Live nedávno shledala, že tato úložná zařízení se najednou rozhodla vrátit do továrního nastavení, což ovšem v jejich případě znamená celkové vymazání připojených pevných disků. Někteří tak přišli o svá data, i když to pochopitelně v takovém případě padá především na jejich hlavu, neboť kdyby to nebyl malware využívající jistou chybu či nedokonalost v My Book Live, mohlo by to být cokoliv jiného a zkrátka není dobré svěřovat svá cenná data jen jednomu úložnému zařízení, a to i když jde o NAS se dvěma disky v zrcadlení. 

 

 

Dříve se přitom tvrdilo, že šlo o jistou nazáplatovanou chybu z roku 2018, která v nyní již nepodporovaných produktech My Book Live zůstala. Server Ars Technica a bezpečnostní výzkumník Derek Abdine ale nyní tvrdí, že jde ve skutečnosti (i) o zero-day exploit, který vznikl nedbalostí výrobce a na který dříve nebylo upozorněno. 

 

Firmware My Book Live by měl vyžadovat ověření přístupu od uživatele, který se snaží provést reset do továrního nastavení, ovšem z neznámého důvodu bylo toto ověření v prodávaných verzích deaktivováno. Čili vše, co útočník musel vědět a znát, byl správný XML požadavek. 

 

function post($urlPath, $queryParams = null, $ouputFormat = ‘xml’) { //  if(!authenticateAsOwner($queryParams)) //  { //       header(“HTTP/1.0 401 Unauthorized”); //       return; //  }

 

Skutečnost ukazuje přiložený kód zveřejněný na Ars Technica, v němž můžeme vidět, že požadavek na ověření přístupu tu ve skutečnosti je, ale dané řádky jsou kvůli dvěma lomítkům na začátcích řádků brány pouze jako komentář. 

 

Ovšem jak bylo naznačeno výše, přeci jen se jedná i o zmíněnou chybu z roku 2018 známou jako CVE-2018-18472, o níž nyní mluví sám Western Digital. V některých případech byl totiž s jejím využitím získán přístup k My Book Live a až poté byla data smazána, ovšem už s využitím exploitu zmíněného Abdinem a serverem Ars Technica. 

 

Zde nám tak nesedí především to, proč by někdo měl využít oba způsoby, když díky samotnému CVE-2018-18472 by měl získat rootovská práva. Dle Ars Technicy tak může ve skutečnosti jít o dva útoky lidí, kteří nemají nic společného, přičemž v prvním případě mělo jít o instalaci malwaru, jenž daná zařízení zotročil v rámci botnetu Linux.Ngioweb (ten se na našel na některých napadených kusech) a v druhém případě zase mohlo jít o snahu někoho jiného ničit konkurenční botnety. Ale to je jen spekulace.

 

V každém případě tu nešlo o jednu, ale dvě chyby, které byly využity pro napadení zařízení My Book Live. WD mezitím začalo postiženým zákazníkům nabízet možnost obnovy dat (zdarma) a také spustilo program pro upgrade na novější řady My Cloud.