黑客利用0天，而不是2018年的错误，以质量擦拭我的预订现场设备

上周的西方数字我的预订现场存储设备的群众擦拭涉及不仅仅是一个漏洞的开发，而且允许黑客在没有密码的情况下远程执行出厂重置的第二个关键安全性错误。

漏洞是显着的，因为它使擦除可能的用户数据的宠物薄物的琐碎。更值得注意的是，根据易受攻击的代码本身，西方数字开发人员在允许工厂重置之前主动删除所需有效用户密码的代码。

无证漏洞驻留在一个名为system_factory_restore的文件中。它包含一个执行重置的PHP脚本，允许用户恢复所有默认配置并擦除存储在设备上的所有数据。

通常情况下，出于充分的原因，工厂重置要求该人员请求提供用户密码。此身份验证可确保暴露于互联网的设备只能由合法所有者重置，而不是由恶意黑客重置。

然而，由于以下脚本显示，Western Digital Developer创建了五行代码以密码保护reset命令。出于未知的原因，验证检查已取消，或者在开发人员策略中，如每行开头的双/字符所示。

“供应商评论系统恢复端点中的身份验证真的并不是让事情对他们看起来有益，”网络发现平台隆隆的安全专家和首席执行官告诉Ars。 “这就像他们故意启用旁路。”

要利用漏洞，攻击者必须知道触发重置的XML请求的格式。这是“与获取请求的随机URL不那么容易，但是[它是]并不是那么远，”摩尔说。

在世界各地的人们报道，他们的预订现场设备已经受到损害，然后恢复出厂时，第二天都会到五天内发现了这第二天的是，然后擦除所有存储的数据。我的书籍Live是一本书大小的存储设备，使用以太网插孔连接到家庭和Office网络，以便连接计算机可以访问其上的数据。授权用户还可以访问其文件并通过Internet进行配置更改。西方数字停止支持我的书籍于2015年。西方数码人员在大规模擦拭后发布了一份咨询，表示这是由攻击者开发CVE-2018-18472的攻击者。通过安全研究人员Paulos Yibelo和Daniel Eshetu，在2018年底发现了遥控命令执行漏洞。因为它在西方数字停止支持我的书生活后三年来光明，公司从未修复它。

ARS和Derek Abdine在Security Consys的ARS和Derek Abdine进行了分析，发现该设备遭到上周的群众黑客攻击，也受到利用未经授权的重置漏洞的攻击。额外的exproit在从两个黑客设备中提取的日志文件中记录。

其中一个日志已发布在西部数字支持论坛中，群众妥协首次亮起。它显示IP地址94.102.49.104的人成功恢复设备：

rest_api.log.1：6月23日15:46:11 mybookliveduo rest_api [9529]：94.102.49.104参数system_factory_restore帖子：erase = none rest_api.log.1：6月23 15:46:11 mybookliveduo rest_api [9529]：94.102 49.104输出系统_factory_restore帖子成功

我从Hacked My Bable Live设备中获取的第二个日志文件显示出不同的IP地址-23.154.177.131-in-prefoiting相同的漏洞。这是Telltale Line：

2007年6月16日07:28:41 [28538]：231参数system_factory_restore帖子：erase = format 2016 07:28:42 mybooklive rest_api [28538]：231输出system_factory_restore帖子成功

在向Western Digital代表介绍这些调查结果后，我收到以下确认：“我们可以确认至少在某些情况下，攻击者利用命令注入漏洞（CVE-2018-18472），然后是出厂重置漏洞。目前尚不清楚为什么攻击者利用这两种漏洞。我们将为工厂重置漏洞的CVE申请，并将更新我们的公告以包含此信息。“

该发现提出了一个烦恼的问题：如果黑客通过利用CVE-2018-18472已经获得了完全root访问权限，他们为这一第二次安全漏洞有什么需要？没有明确的答案，但基于可用的证据，ABDINE提出了一种合理的理论 - 即一个黑客首次开发的CVE-2018-18472和竞争对手黑客以便在尝试控制那些已经受到影响的情况下剥夺了其他脆弱性设备。

被利用CVE-2018-18472的攻击者使用了所提供的代码执行功能来修改我的书籍实时堆栈中的文件，命名为language_configuration.php，这是漏洞所在的位置。根据恢复的文件，修改添加了以下行：}

$ langconfigobj = new languageconfiguration（）; if（！isset（$更改[＆＃34;提交＆＃34;]）|| sha1（$ drame [＆＃34;提交＆＃34;]）！=＆＃34; 56f650e16801d38f47bb0ead39e21a8142d7da1＆＃34;）{die（） ;更改阻止了任何人都会利用与密码对应于加密SHA1 HASH 56F650E16801D38F47B0142D7DA1的密码的漏洞。事实证明，此哈希的密码为P $ EFX3TQWOUBFC％B％R $ K @。明文在此处显示在恢复的日志文件中。

从黑客设备中恢复的单独修改的语言_Configuration.php文件使用了与Hash 05951EDD7F05318019C4CFAFAB8E567AFE7936D4对应的不同密码。黑客使用第三个哈希-B18C3795FD377B51B7925B2B68FF818CC9115A47-to password-protect一个名为deacternied.php的单独文件。如果西方数字发布更新修补的Language_Configuration，它可能会作为保险单。

根据上面链接的Western Digital的咨询，使用CVE-2021-18472被CVE-2021-18472发送的一些我的书籍直播设备被称为.nttpd，1-ppc-be-t1-z的恶意软件被攻击，它被写入使用的PowerPC硬件运行由我的书籍现场设备。支持论坛中的一个用户报告了一个攻击我的书籍现场，接收此恶意软件，这使得设备的一部分被称为Linux.ngiowebeB。

那么为什么将那些成功捆绑这么多的人的人会将设备直播到僵尸网络转身并擦拭并重置它们？为什么有人会在已经有root访问权限时使用未记录的身份验证旁路？

最有可能的答案是，大众擦除和重置是由不同的攻击者执行的，这可能是一个竞争对手，他们试图控制竞争对手的僵尸网络或只是想破坏它。

“对于发布到这个[system_factory_restore]端点的动机在大规模范围内，它是未知的，但它可能是对竞争对手僵尸网络运营商的尝试，以接管这些设备或使其无用，或者想要侵扰的人僵尸网络可能已经存在了一段时间，因为自2015年以来存在这些问题，“Abdine在最近的博客文章中写道。

发现这一第二漏洞意味着我的书籍现场设备比大多数人认为更不安全。它为Western Digital的建议添加了对所有用户的推荐，将其设备与Internet的连接断开。使用其中一个设备的任何人都应该立即呼叫。

对于减少几年的许多黑客用户＆＃39;或数十年＆＃39;值得的数据，购买另一个西方数字存储设备的想法可能是不可能的。然而，ABDINE表示，我的云实时设备替换了Western Digital的我的书籍现场产品，具有不同的代码库，这些代码库不包含最近遭受批量擦拭的任何一个漏洞。

“我也看看我的云固件，”他告诉我。 “它和＃39;重写并忍受了一些，但大多数很少，与我的书籍实时代码相似。所以它没有分享同样的问题。“

当故事只是＆＃34时，我更快乐;我们在2018年从2018年和＃34打扰了这个东西。......