COMPUTING

Western Digital eliminó el código que habría evitado los ataques generalizados al disco duro

Es posible que haya escuchado hace varios días que los propietarios de ciertos discos duros externos Western Digital My Book fueron atacados con un exploit remoto que borró todos sus datos. Alternativamente, puede ser el desafortunado propietario de un My Book Live y todavía estar de luto por la pérdida de sus valiosos archivos. En cualquier caso, parece que la causa del cambio de formato no fue la vulnerabilidad de 2018, sino que fue un exploit de día cero causado por un desarrollo descuidado. Sin embargo, esto no exime a WD de las irregularidades. En todo caso, es incluso peor.

La semana pasada, muchos propietarios de discos duros My Book Live se despertaron y descubrieron que sus dispositivos se habían restablecido. A diferencia de la mayoría de las unidades externas, My Book Live no tiene un puerto USB. Está diseñado para conectarse a su red local a través de un cable Ethernet para que se pueda acceder a él desde todos sus otros dispositivos. Sin embargo, por defecto está disponible en línea en todo momento, y WD dejó de admitir My Book Live hace varios años.

Es cierto que si WD no hubiera abandonado la línea My Book Live, podría haber detectado el problema antes del hack. Sin embargo, se ha demostrado que la suposición inicial de que el truco se debió en su totalidad a una falla de 2018 sin parchear es incorrecta. Ars Technica y el investigador de seguridad Derek Abdine ahora dicen que el ataque masivo proviene de una falla no reportada en el software de disco de WD. El software incluía una verificación de autenticación cada vez que se activaba el comando de reinicio integrado. Sin embargo, por razones desconocidas, se deshabilitó en el software de envío. Todo lo que el atacante necesitaba saber para dejar en blanco las unidades era cómo formatear la solicitud XML. El código, que se ve a continuación, habría bloqueado el reformateo, pero la doble barra al principio de cada línea indica que fue “comentado”.

publicación de función ($ urlPath, $ queryParams = null, $ ouputFormat = ‘xml’) {
// if (! authenticateAsOwner ($ queryParams))
// {
// encabezado (“HTTP / 1.0 401 no autorizado”);
// regreso;
//}

Entonces, todo eso es bastante extraño, pero se vuelve aún más extraño. Estas unidades son de hecho vulnerables a CVE-2018-18472, el exploit de 2018 Western Digital inicialmente señalado como la causa. Afirma que en al menos algunos de los hacks conocidos, los atacantes usaron CVE-2018-18472 para obtener acceso y luego activaron el día cero para formatear la unidad. La falla de 2018 debería le han dado al atacante acceso de root, por lo que no está claro por qué también usaron el método zero-day. Se ha descubierto que varias unidades pirateadas tienen malware diseñado para el hardware PowerPC de la unidad. Esto hace que las unidades formen parte de la botnet Linux.Ngioweb.

Dan Goodin de Ars tiene una teoría sobre esto, y estoy de acuerdo con ella. Goodin especula que la instalación y el reinicio de la botnet fueron realizados por diferentes atacantes. Quizás el ataque de eliminación de datos fue un intento de un rival de hacer estallar la botnet de su enemigo. Es una pena que los usuarios habituales hayan perdido todos sus datos al quedar atrapados en el medio. Independientemente, Western Digital realmente se equivocó al permitir que un dispositivo con dos serias vulnerabilidades se encuentran en los hogares de las personas todo este tiempo.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar