Battle of Hackers raderar tusentals hårddiskar –

Den 23 juli började mängder av WD-användare klaga på att data på deras hårddiskar hade raderats. Medan de tittade på raderingsloggen upptäckte några att någon fjärrkörde ett kommando för att radera allt innehåll på hårddiskarna utan att be om något lösenord.

Kan återställas utan lösenord

Efter att ha analyserat händelsen upptäckte säkerhetsforskare en sårbarhet för filåterställning där PHP-skript uppfyller fabrik återställ och radera all data. En sådan funktion kräver vanligtvis inmatning av ett bekräftelselösenord, men när de tittade på koden fann de att kodraderna som bad om lösenordet kommenterades ut med // i början, så de exekverades inte.

Detta är en del av sårbarheten, och de var tvungna att dra fördel av en annan tillgänglig sårbarhet för att exekvera den. Det var lika enkelt för angriparna att komma till den sårbarhet som två forskare vid namn Paulos Ibelo och Daniel Esheta upptäckte 2018. Sårbarheten identifierades av Western Digital och kodades. CVE-2018-18472

Men eftersom de inte längre stödde dessa modeller, fixade de dem aldrig, vilket gjorde att alla angripare som upptäckte dem kunde dra nytta av dem. För detta behöver angriparen känna till IP-adressen för den berörda enheten medan du fortsätter att köra fjärrkodexekvering.

Intressant nog, med CVE-2018-18472-sårbarheten, hade angriparna redan full tillgång till enheten, och de behövde inte använda den andra. Teorin bakom detta är att den första hackaren utnyttjade CVE-2018-18472, och en rivaliserande hacker försökte senare en annan sårbarhet för att ta kontroll över andra enheter och göra dem till en del av botnätet de kontrollerade.

Hackerstrid, den mest logiska förklaringen

Den första hackaren modifierade i huvudsak en fil på hårddiskar för att tillhandahålla ett lösenord som matchar en hash. 56f650e16801d38f47bb0eeac39e21a8142d7da1 vilket i klartext p $ EFx3tQWoUbFc% B% R $ k @ … De använde också olika lösenord på andra enheter och filer som skydd ifall WD släpper en uppdatering som fixar den första sårbara filen.

Vissa hårddiskar som äventyrades med CVE-2018-18472 var också infekterade med skadlig programvara som anropades. nttpd, 1-ppc-be-t1-z som skrevs för att arbeta på PowerPC hårdvara används av dessa WD-enheter. Med denna skadliga programvara blir hårddiskar en del av ett botnät som kallas Linux.Ngioweb som de kan starta DDoS-attacker med.

Därför är det logiskt att den andra hackaren ville kontrollera enheten eller helt enkelt Fan den här rivaliserande hackaren , och körde kommandot för återställa hårddiskar … Tack vare detta upptäckte deras ägare att de blivit hackade, eftersom de annars kunde ha stulit mer data från de hårddiskarna. Därför är det mycket viktigt att koppla bort dessa enheter från Internet och använda dem som lokala hårddiskar. Nya WD-enheter lider inte av dessa brister, så ägare kan andas ut.

Relaterade artiklar

Back to top button