Zero-Day verwendet, um meine Book Live-Geräte zu löschen

  • Bedrohungsakteure haben möglicherweise um die Kontrolle über die kompromittierten Geräte gekämpft, indem sie zunächst einen RCE aus dem Jahr 2018 verwendeten und dann eine neue Sicherheitslücke mit einem Passwort schützten.

    Western Digital wird ab Juli kostenlose Datenwiederherstellungsdienste für Personen anbieten, deren Daten letzte Woche von ihren NAS-Geräten (Network-Attached Storage) gelöscht wurden, sagte das Unternehmen in einem Update am Dienstag.

    Das Unternehmen plant außerdem, ein Eintauschprogramm anzubieten, um Kunden in die Cloud zu bringen – genauer gesagt, auf ein unterstütztes My Cloud-Gerät – und von alten My Book Live- und My Book Live Duo-Geräten zu befreien, von denen eine unbestimmte Anzahl in einem Angriff ausgeweidet wurde, der eine Zero-Day-Schwachstelle ausnutzte.

    Tatsächlich waren es zwei Sicherheitslücken, die ausgenutzt wurden: Ein alter Remote-Code-Execution (RCE)-Bug aus dem Jahr 2018, dem Western Digital zuerst die Schuld gab, und dann eine bisher unbekannte Schwachstelle, die unauthentifizierte Remote-Reset-Geräte-Wipes ermöglichte. Theorien darüber, warum der Angriff zwei verheerende Exploits beinhaltete, beinhalten die Vermutung, dass rivalisierende Bedrohungsakteure um die Kontrolle über die kompromittierten Geräte kämpften.

    Western Digital hat außerdem neue Details zu diesem Zero Day veröffentlicht, bei dem die neu identifizierte Schwachstelle CVE-2021-35941 ausgenutzt wurde. Der Fehler befindet sich in Western Digitals WD My Book Live (2.x und später) und WD My Book Live Duo (alle Versionen), die über eine Administrator-API verfügen, die eine Systemwiederherstellung ohne Authentifizierung durchführen kann. Der Schweregrad wurde noch nicht eingestuft.

    [Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

    Neben dem unauthentifizierten Factory-Reset-Vorgang ist die Firmware für My Book Live laut Western Digital auch anfällig für eine aus der Ferne ausnutzbare Command-Injection-Schwachstelle, wenn auf dem Gerät der Fernzugriff aktiviert ist. “Diese Schwachstelle kann ausgenutzt werden, um beliebige Befehle mit Root-Rechten auszuführen”, heißt es in der aktualisierten Mitteilung von Western Digital.

    Herkunft des Factory-Reset-Bugs

    Das Unternehmen teilte weitere technische Details über die neu entdeckte Schwachstelle mit, um Fragen zu beantworten, die im Zuge der globalen Datenlöschung aufgetaucht sind. In dem Advisory wird erklärt, dass das Unternehmen die Sicherheitslücke beim unauthentifizierten Zurücksetzen auf die Werkseinstellungen bis zum April 2011 zurückverfolgt hat, als My Book Live in der Firmware des Geräts “eine Überarbeitung der Authentifizierungslogik” erfuhr. Refactoring ist ein Prozess, der dazu dient, das Design, die Struktur und/oder die Implementierung von nicht-funktionalen Attributen einer Software zu verbessern, während die Funktionalität erhalten bleibt.

    Western Digital sagte, dass sich der Fehler so während des Refactors im Jahr 2011 eingeschlichen hat:

    Der Refactor zentralisierte die Authentifizierungslogik in einer einzigen Datei, die auf dem Gerät als includes/component_config.php vorhanden ist und den von jedem Endpunkt benötigten Authentifizierungstyp enthält. Bei diesem Refactor wurde die Authentifizierungslogik in system_factory_restore.php korrekt deaktiviert, aber der entsprechende Authentifizierungstyp ADMIN_AUTH_LAN_ALL wurde nicht zu component_config.php hinzugefügt, was zu der Sicherheitslücke führte. Der gleiche Refactor entfernte die Authentifizierungslogik aus anderen Dateien und fügte der Datei “component_config.php” den entsprechenden Authentifizierungstyp korrekt hinzu.

    Das ist ein verblüffendes Eingeständnis: Mit anderen Worten: Ein Entwickler von Western Digital hat aktiv den Authentifizierungscode entfernt, der die Eingabe eines gültigen Benutzerpassworts erfordert, bevor ein Factory Reset durchgeführt werden kann. Dieser Fehler hat die Benutzer leider einige Petabytes an Daten gekostet, da sich verärgerte Benutzer darüber beschwert haben, dass Daten von Jahren gelöscht wurden.

    Die Herkunft des alten Bugs

    Western Digital wies darauf hin, dass bei dem Vorfall auch ein alter, zuvor entdeckter Fehler ausgenutzt wurde: CVE-2018-18472. Dieser sollte nicht überraschend kommen: Die Remote Command-Execution (RCE)-Schwachstelle wurde im Oktober 2018 entdeckt und war mit einem CVSS-Score von 9,8 von 10 ein extrem hohes Risiko. Nichtsdestotrotz hat Western Digital sie nie behoben, zumal sie drei Jahre nach der Einstellung des Supports für My Book Live entdeckt wurde.

    Der Fehler wurde von Paulos Yibelo und Daniel Eshetu ans Licht gebracht, die ihre Erkenntnisse erst im November letzten Jahres aktualisierten. Die Forscher schrieben, dass “das WD My Book Live und einige Modelle des WD My Cloud NAS eine aus der Ferne ausnutzbare Schwachstelle enthalten, die es jedem ermöglicht, Befehle auf dem Gerät als Root auszuführen.”

    Angriffskette für MyBook Live Wipe

    Logdateien von Kunden, die Daten verloren haben, zeigen, dass sich Angreifer von einer Vielzahl von IP-Adressen in verschiedenen Ländern direkt mit ihren My Book Live-Geräten verbunden haben, so Western Digital. Die Untersuchung hat gezeigt, dass “in einigen Fällen derselbe Angreifer beide Schwachstellen auf dem Gerät ausgenutzt hat, was durch die Quell-IP belegt wird. Die erste Schwachstelle wurde ausgenutzt, um eine bösartige Binärdatei auf dem Gerät zu installieren, und die zweite Schwachstelle wurde später ausgenutzt, um das Gerät zurückzusetzen.”

    Auf einigen Geräten, so erklärte das Unternehmen, installierten die Angreifer einen Trojaner mit einer Datei namens “.nttpd,1-ppc-be-t1-z” – ein Linux-ELF-Binary, das für die PowerPC-Architektur kompiliert wurde, die vom My Book Live und Live Duo verwendet wird. Western Digital hat ein Beispiel des Trojaners erfasst und auf VirusTotal hochgeladen. Ein Benutzer im Support-Forum von Western Digital berichtete, dass sein My Book Live mit dieser Malware infiziert war, die die Geräte zu einem Teil eines Botnetzes namens Linux.Ngioweb macht, das meist bösartige Proxy-Server umfasst.

    Die Untersuchung des Unternehmens hat noch keine Beweise dafür gefunden, dass die Cloud-Dienste von Western Digital, die Server für Firmware-Updates oder die Anmeldedaten der Kunden kompromittiert wurden.

    “Da die My Book Live-Geräte durch Port-Weiterleitung direkt dem Internet ausgesetzt werden können, könnten die Angreifer in der Lage sein, verwundbare Geräte durch Port-Scanning zu entdecken”, heißt es in dem Update von Western Digital. “Die Schwachstellen, die bei diesem Angriff ausgenutzt werden, sind auf die My Book Live-Serie beschränkt, die 2010 auf den Markt kam und 2015 ein letztes Firmware-Update erhielt. Diese Schwachstellen betreffen nicht unsere aktuelle My Cloud-Produktfamilie.”

    Warum zwei Bugs?

    Letzte Woche führte Western Digital in einem ersten Advisory die massenhafte Datenlöschung auf Angreifer zurück, die eine alte, ungepatchte RCE-Schwachstelle aus dem Jahr 2018 ausnutzten.

    Aber die Handlung verdickte sich, wie Dan Goodin von Ars Technica detailliert beschreibt. Ars und Derek Abdine, CTO bei der Sicherheitsfirma Censys, führten eine Analyse der Logs der betroffenen Geräte durch, die zeigte, dass Geräte, die von dem Massenhack betroffen waren, auch Angriffen ausgesetzt waren, die die neue, nicht autorisierte Reset-Schwachstelle ausnutzten. Der zusätzliche Exploit wurde in Log-Dateien dokumentiert, die von zwei gehackten Geräten extrahiert wurden. Eines der Logs, das im Western Digital-Supportforum gepostet wurde, in dem der Angriff zuerst bekannt wurde, zeigte, dass jemand von der IP-Adresse 94.102.49.104 ein Gerät erfolgreich wiederhergestellt hatte. Aber eine zweite Log-Datei von einem betroffenen My Book Live-Gerät zeigte eine andere IP-Adresse – 23.154.177.131 – die dieselbe Schwachstelle ausnutzte.

    Als Goodin sich an Western Digital wandte, bestätigte das Unternehmen, dass die Angreifer in einigen Fällen die alte RCE-Schwachstelle ausnutzten und dann die neue Factory-Reset-Schwachstelle ausnutzten.

    Und warum? Western Digital teilte Goodin damals mit, dass man sich nicht sicher sei, aber dass man eine CVE für den neuen Bug anfordern werde: “Es ist nicht klar, warum die Angreifer beide Schwachstellen ausgenutzt haben. Wir werden ein CVE für die Factory-Reset-Schwachstelle beantragen und unser Bulletin aktualisieren, um diese Information aufzunehmen.”

    Warum eine Sicherheitslücke mit Passwort schützen?

    Es ist nicht klar, warum Angreifer, die bereits mit dem alten Fehler volle Root-Rechte erhalten hatten, einen zweiten ausnutzen mussten, aber Abdine hat eine Theorie: Nämlich, es könnten zwei Angreifer am Werk sein. Der erste könnte den alten Fehler – CVE-2018-18472 – ausgenutzt haben, während ein zweiter, rivalisierender Bedrohungsakteur versucht haben könnte, die Kontrolle über bereits kompromittierte Geräte zu erlangen, indem er die zweite, neue Sicherheitslücke ausnutzt.

    Wer auch immer den alten Fehler ausgenutzt hat, hat eine Datei im My Book Live-Stack namens language_configuration.php – in der sich die Schwachstelle befindet – verändert, um Code hinzuzufügen, der jeden daran hindert, die Schwachstelle auszunutzen, es sei denn, er hat ein Passwort, das dem kryptografischen SHA1-Hash 56f650e16801d38f47bb0eeac39e21a8142d7da1 entspricht. Das Passwort für den Hash stellt sich als p$EFx3tQWoUbFc%B%R$k@ heraus, das in einer der wiederhergestellten Protokolldateien auftaucht.

    Die Protokolldateien zeigen ein weiteres Passwort mit dem Hash 05951edd7f05318019c4cfafab8e567afe7936d4, das zum Schutz einer separaten, modifizierten language_configuration.php eingerichtet wurde. Darüber hinaus verwendeten die Angreifer einen dritten Hash, b18c3795fd377b51b7925b2b68ff818cc9115a47, um eine separate Datei namens accessDenied.php mit einem Passwort zu schützen: Was Goodin vorschlug, könnte als “Versicherungspolice für den Fall, dass Western Digital ein Update veröffentlicht, das language_configuration patcht”, eingerichtet worden sein.

    Abdine schrieb über diese Theorie in einem Blogeintrag: “Was das Motiv für das POSTing zu diesem [system_factory_restore] Endpunkt im großen Stil ist unbekannt, aber es könnte ein Versuch eines rivalisierenden Botnet-Betreibers sein, diese Geräte zu übernehmen oder unbrauchbar zu machen, oder jemand, der das Botnet, das es wahrscheinlich schon seit einiger Zeit gibt, anderweitig stören wollte, da diese Probleme seit 2015 bestehen.”

    Die erste Sicherheitslücke war schon schlimm genug, aber die zweite unterstreicht die Dringlichkeit, mit der Western Digital rät, seine Geräte vom Internet zu trennen. Was den Wechsel zu den My Cloud Live-Geräten des Unternehmens angeht, so sagte Abdine gegenüber Ars, dass die Ersatzgeräte nicht die Fehler haben, die letzte Woche ausgenutzt wurden. Er sagte Goodin, dass er auch einen Blick auf die My Cloud-Firmware geworfen hat, die größtenteils in Ordnung zu sein scheint.

    “Sie ist neu geschrieben und hat einige, aber meist nur geringe Ähnlichkeit mit dem My Book Live-Code”, sagte Abdine gegenüber Ars. “Es gibt also nicht die gleichen Probleme.”

    Threatbook hat sich für weitere Details gemeldet und wird diesen Beitrag entsprechend aktualisieren.

    Nehmen Sie an Threatposts “Tipps und Taktiken für eine bessere Bedrohungsjagd” teil – einer LIVE-Veranstaltung am Mittwoch, 30. Juni um 14:00 Uhr ET in Zusammenarbeit mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com