На прошлой неделе NAS производства Western Digital подверглись атакам, в результате которых с устройств были удалены все файлы, и пользователи лишились возможности войти в систему через браузер или приложение, получая ошибку «неверный пароль». Тогда разработчики попросили владельцев NAS временно отключить девайсы от интернета.
Инженеры Western Digital сообщали, что, по их мнению, устройства могли быть скомпрометированы с использованием некой уязвимости, так как они были подключены к интернету напрямую. При этом последнее обновление прошивки для WD My Book Live вышло в 2015 году, а после этого был обнаружен критический баг CVE-2018-18472, для которого сразу появился эксплоит. В итоге многие решили, что в атаках использовалась именно эта уязвимость, однако все оказалось не так просто.
Как теперь сообщают эксперты компании Censys, последняя прошивка для My Book Live содержала уязвимость нулевого дня, которая получила идентификатор CVE-2021-35941 и позволяет удаленному злоумышленнику выполнить сброс устройства к заводским настройкам.
Если обычно подобная процедура, осуществляющаяся через консоль удаленного администрирования, требует, чтобы администратор прошел аутентификацию, то в скрипте system_factory_restore проверки аутентификации закомментированы, что позволяет любому, у кого есть доступ к устройству, выполнить сброс. Именно этой проблемой воспользовались неизвестные на прошлой неделе.
Однако аналитики Censys пишут, что первые теории об эксплуатации старого, неисправленного бага CVE-2018-18472 тоже оказались верны. Злоумышленники массово используют эту RCE-уязвимость, чтобы сделать доступные устройства My Book Live частью ботнета. С помощью этого бага хакеры загружают на устройство скрипт с удаленного сайта, а затем выполняют его.
Одна из полезных нагрузок этой кампании была загружена на VirusTotal, и компания «Доктор Веб» отслеживается ее как Linux.Ngioweb.27. Это известный Linux-ботнет, нацеленный на IoT-устройства. Также в атаках был замечен еще один пейлоад, но пока неясно, к какому семейству малвари он принадлежит. В итоге устройства My Book Live могут использоваться для осуществления DDoS-атак, выполнения команд или кражи файлов.
Интересно, что при этом операторы ботента защищают свои скрипты паролями, чтобы предотвратить захват NAS конкурирующими ботнетами и другими хакерами. Из-за этого у ИБ-специалистов появилась теория о том, что недавние атаки со сбросом к заводским настройкам могут быть связаны с активностью данного ботнета. Дело в том, что стирание данные могло быть делом рук операторов конкурирующего ботнета, которые стремились перезагрузить устройства, чтобы захватить контроль над ним, или просто насолить соперникам, сделав NAS бесполезными.
Стоит отметить, что представители Western Digital уже сообщили, что компания предоставит всем пострадавшим услуги по восстановлению данных.
