Удаление данных с WD MyBook могли спровоцировать две враждующие между собой группировки

В массовом удалении данных с устройств Digital My Book от компании Western Digital повинна не только старая уязвимость CVE-2018-18472 , как изначально утверждал производитель, но и ранее неизвестная уязвимость. Использовавшаяся в атаках уязвимость нулевого дня, получившая идентификатор CVE-2021-35941 , позволила злоумышленникам удаленно сбросить настройки атакуемых устройств без пароля. Более того, судя по уязвимому коду, разработчик Western Digital сам удалил код, требовавший введение действительного пароля пользователя перед сбросом настроек до заводских.

Уязвимость существует в файле system_factory_restore, содержащем PHP-скрипт для сброса настроек, восстановления конфигураций по умолчанию и удаления всех хранящихся на устройствах данных. Обычно (и очень правильно) для осуществления сброса настроек пользователь должен ввести свой пароль. Это нужно для того, чтобы обезопасить доступное через интернет устройство от сброса настроек кем-то посторонним.

Как показывает анализ скрипта, изначально разработчик Western Digital действительно создал пять строк кода, запрашивающие пароль перед сбросом настроек. Тем не менее, потом по непонятным причинам проверка аутентификации была отменена или, говоря языком разработчиков, была закомментирована, о чем свидетельствует двойной символ «/» в начале каждой строки.

Для эксплуатации уязвимости злоумышленник должен знать формат XML-запроса, запускающего сброс настроек. Это не на так просто, как отправить GET-запрос произвольному URL, но все-таки вполне выполнимо.

«Мы изучили полученные от пострадавших пользователей файлы журналов с целью понять и охарактеризовать атаку. Из просмотренных нами файлов следует, что злоумышленники напрямую подключались к затронутым устройствам My Book Live с различных IP-адресов в разных странах. Как показало наше расследование, в некоторых случаях один и тот же злоумышленник эксплуатировал обе уязвимости на устройстве, о чем свидетельствует исходный IP-адрес. Первая уязвимость эксплуатировалась для установки вредоносного двоичного файла на устройство, а вторая уязвимость позже была использована для перезагрузки устройства.

На некоторых устройствах злоумышленники установили троян с файлом .nttpd, 1-ppc-be-t1-z, который представляет собой двоичный файл ELF Linux, скомпилированный для используемой My Book Live и Live Duo архитектуры PowerPC. Образец этого трояна был извлечен для дальнейшего анализа и загружен на VirusTotal. Наше расследование инцидента не обнаружило никаких свидетельств того, что облачные сервисы Western Digital, серверы обновления прошивки или учетные данные клиентов были скомпрометированы», - сообщается в обновленном уведомлении Western Digital.

Возникает вопрос: если у хакеров уже и так был доступ к устройствам с правами суперпользователя, обеспеченными им уязвимостью трехлетней давности (CVE-2018-18472), зачем им понадобилось эксплуатировать вторую? По мнению старшего технического директора ИБ-компании Censys Дерека Эбдайна (Derek Abdine), атаки могли быть делом рук двух разных хакерских группировок. То есть, первая группировка захватила контроль над устройствами через одну уязвимость, а вторая попыталась перехватить этот контроль через другую.

Злоумышленники, проэксплуатировавшие CVE-2018-18472, использовали предоставленную им возможность выполнения кода для изменения файла с именем language_configuration.php в стеке My Book Live, в котором и существует уязвимость. Это изменение предотвратило экспулатацию уязвимости без пароля, соответствующего криптографическому хешу SHA1 56f650e16801d38f47bb0eeac39e21a8142d7da1, пароль для которого p$EFx3tQWoUbFc%B%R$k@.

В отдельном модифицированном файле language_configuration.php, восстановленном со взломанного устройства, использовался другой пароль, соответствующий хешу 05951edd7f05318019c4cfafab8e567afe7936d4. Хакеры использовали третий хеш b18c3795fd377b51b7925b2b68ff818cc9115a47 для защиты паролем отдельного файла с именем accessDenied.php. Вероятно, это было сделано с целью подстраховаться на случай, если Western Digital выпустит обновление, исправляющее language_configuration.

Согласно приведенному выше обновленному уведомлению Western Digital, некоторые устройства My Book Live, взломанные с помощью CVE-2021-18472, были заражены вредоносным ПО .nttpd, 1-ppc-be-t1-z, написанным специально для аппаратного обеспечения PowerPC на устройствах My Book Live. Вредоносное ПО включает взломанные устройства в ботнет Linux.Ngioweb.

Возникает вопрос: зачем кому-то, кто успешно подключил так много устройств My Book Live к ботнету, вдруг все рушить, стирая данные с устройств и сбрасывая настройки до заводских? Зачем нужно использовать недокументированный обход аутентификации, если благодаря первой уязвимости уже есть доступ суперпользователя? Наиболее вероятное объяснение – атаки осуществлялись разными киберпреступными группировками, которые, похоже, враждуют между собой.