Tecnología

Los piratas informáticos utilizan el día cero para borrar en masa los dispositivos My Book Live

Occidente digital

Una vulnerabilidad de día cero en los dispositivos NAS Western Digital My Book Live permitió a un actor de amenazas realizar restablecimientos masivos de fábrica de dispositivos la semana pasada, lo que provocó la pérdida de datos.

Por último, contamos la historia de que los propietarios de NAS Western Digital My Book Live descubrieron de repente que sus archivos almacenados habían desaparecido misteriosamente. Desafortunadamente, el restablecimiento de fábrica también restableció las contraseñas de administrador, por lo que los usuarios no pudieron iniciar sesión en sus dispositivos a través del panel web o SSH.

Después de que algunos usuarios analizaron los registros del dispositivo, encontraron que el 24 de junio, se ejecutó un script llamado factoryRestore.sh en sus dispositivos, que borró los archivos del dispositivo.

Jun 24 00:26:53 MyBookLive factoryRestore.sh: begin script:
Jun 24 00:26:53 MyBookLive shutdown[5033]: shutting down for system reboot
Jun 24 00:26:53 MyBookLive logger: exit standby after 9674 (since 2021-06-23 21:45:39.926803414 +0100)

Western Digital le había dicho originalmente a Bleeping Computer que los ataques se estaban llevando a cabo a través de una vulnerabilidad de 2018 rastreada como CVE-2018-18472, que no se corrigió ya que el dispositivo ha estado fuera de soporte desde 2015.

Resulta que, si bien los actores de amenazas usaron esta vulnerabilidad en ataques contra dispositivos My Book Live, en realidad fue una vulnerabilidad de día cero diferente responsable de los restablecimientos de fábrica.

Día cero utilizado para realizar restablecimientos de fábrica

UNA. informe Derek Abdine, CTO de Censys, reveló que el último firmware para dispositivos My Book Live contenía una vulnerabilidad de día cero que permitía a un atacante remoto realizar restablecimientos de fábrica en dispositivos conectados a Internet.

Aunque normalmente se permite realizar restablecimientos de fábrica a través de consolas de administración remota, siempre requieren que un administrador se autentique primero en el dispositivo.

En el acertadamente nombrado system_factory_restore script en el firmware de My Book Live, se comentaron las verificaciones de autenticación, lo que hace posible que cualquier persona con acceso al dispositivo realice un restablecimiento de fábrica.

en un texto compartido con Dan Goodin de Ars Technica, quien también fue notificado de forma independiente del día cero, puede ver las funciones get () y post () con comprobaciones de autenticación comentadas por algún motivo por un desarrollador de Western Digital.

Comprobaciones de autenticación comentadas al emitir un restablecimiento de fábrica
Comprobaciones de autenticación comentadas al emitir un restablecimiento de fábrica
Fuente: Ars Technica

Siempre que los actores de la amenaza puedan determinar los parámetros correctos para el punto final, podrían realizar una activación masiva de restablecimientos de fábrica en dispositivos en todo el mundo.

La batalla por el control del NAS

Si bien los piratas informáticos utilizaron la vulnerabilidad de día cero para realizar restablecimientos de fábrica de los dispositivos, parece que puede haber habido actividad maliciosa durante bastante tiempo antes de eso.

A partir de una investigación realizada por Abdine, los actores de amenazas han estado explotando masivamente la vulnerabilidad de ejecución remota de código CVE-2018-18472 de 2018 para infectar dispositivos My Book Live expuestos públicamente y agregarlos a una botnet.

Usando la vulnerabilidad, los actores de la amenaza ejecutarían un comando en el enrutador que descargaría un script de un sitio remoto y lo ejecutarían, como se ilustra a continuación.

Demostración de explotación masiva mediante CVE-2018-18472
Demostración de explotación masiva mediante CVE-2018-18472
Fuente: Censys

Una de las cargas útiles que vio un usuario afectado se cargó en VirusTotal, donde DrWeb lo detecta como una variante de Linux.Ngioweb.27, una conocida botnet de Linux que se dirige a dispositivos IoT. Otra carga útil entonces que visto en ataques, pero no está claro a qué familia de malware pertenece.

Una vez enlistados en la botnet, los actores de amenazas podrían usar de forma remota los dispositivos NAS My Book Live para realizar potencialmente ataques DDoS, atacar otros dispositivos, ejecutar comandos o incluso robar archivos.

Los ataques también protegerían con contraseña varios scripts para evitar que los dispositivos sean controlados por botnets rivales u otros actores de amenazas.

Si bien ahora tenemos una idea de los diversos ataques dirigidos a los dispositivos My Book Live, no tenemos un motivo para que un actor de amenazas realice borrados masivos de los dispositivos NAS.

Abdine cree que los borrados masivos usando el día cero podrían haber sido un intento de otro actor de amenazas o el rival de la botnet de restablecer el dispositivo para que pudieran tomar el control del dispositivo.

“En cuanto al motivo para publicar en este punto final a escala masiva, se desconoce, pero podría ser un intento de que un operador de botnet rival se apodere de estos dispositivos o los inutilice (es probable que el nombre de usuario y la contraseña se restablezcan a su valor predeterminado de admin / admin, lo que permite que otro atacante tome el control), o alguien que quisiera interrumpir la botnet que probablemente ha existido durante algún tiempo, ya que estos problemas existen desde 2015 “, explica Abdine.

Los dispositivos de IoT para el consumidor son un bien valioso en el mundo de la ciberdelincuencia, ya que permiten a los actores de amenazas realizar ataques sin ser detectados.

Como los dispositivos de IoT no tienen muchas señales externas que indiquen que han sido manipulados, los actores de amenazas pueden usarlos como parte de sus campañas maliciosas durante mucho tiempo sin ser detectados.

Por ahora, los usuarios deben evitar que sus dispositivos My Book Live sean accesibles públicamente y solo usarlos en su red local o detrás de una VPN.

Bleeping Computer se ha puesto en contacto con Western Digital para ver si lanzarían un parche para esta vulnerabilidad, lo cual es poco probable ya que los dispositivos no han sido compatibles durante seis años.

Leave a Comment

You may also like

Más