توضیحات تکمیلی وسترن دیجیتال درباره حذف دادههای My Book Live
چندی پیش گزارشی در فضای مجازی منتشر شد که از حذف شدن ناگهانی تمام دادههای بعضی از کاربران My Book Live وسترن دیجیتال خبر میداد. این مشکل برای اولین بار توسط یکی از کاربران گزارش شد و سپس افراد بیشتری از سراسر دنیا تجربه کردن شرایط مشابه را اعلام کردند. اکنون این شرکت اطلاعات جدیدی درباره علت حذف اطلاعات کاربران منتشر کرده است.
طبق گزارش Arstechnica، وسترن دیجیتال خبر داده است که از اوایل ماه آینده خدمات بازیابی اطلاعات را به کاربران خود ارائه خواهد داد. همچنین مشتریان My Book Live واجد شرایط برنامه جدید این شرکت خواهند بود تا به دستگاههای My Cloud ارتقا پیدا کنند.
وسترن دیجیتال جزئیات فنی جدیدی درباره «روز صفر» ارائه داده است که اکنون با عنوان CVE-2021-35941 بررسی میشود. مسئولان شرکت نوشتند:
نگرانیهایی در مورد ماهیت این آسیبپذیری به گوش ما رسیده است؛ به همین دلیل جزئیات فنی را برای حل این سؤالها به اشتراک میگذاریم. تشخیص دادهایم که آسیبپذیری فکتوری ریست غیر مجاز در آوریل ۲۰۱۱ بهعنوان بخشی از ریفکتور احراز هویت در میانافزار دستگاه به My Book Live وارد شده است. ریفکتور مذکور، احراز هویت را در یک فایل واحد متمرکز میکند. این فایل با عنوان includes/component_config.php در دستگاه وجود دارد و شامل نوع احراز هویت مورد نیاز هر اندپوینت است. در این ریفکتور، احراز هویت در system_factory_restore.php بهدرستی غیر فعال شده بود؛ اما نوع تأیید اعتبار مناسب ADMIN_AUTH_LAN_ALL به component_config.php اضافه نشده و در نهایت منجر به آسیبپذیری شده است. همان ریفکتور، احراز هویت را از فایلهای دیگر حذف کرده و نسخه مناسب آن را بهدرستی به فایل component_config.php افزوده است.
در ادامه این پست آمده است:
ما فایلهای گزارش مشتریانی که تحت تأثیر این مسئله قرار گرفتند دریافت کردیم و برای درک بیشتر این حمله آنها را مورد بررسی قرار دادیم. گزارشهایی که بررسی کردیم، نشان میدهند مهاجمان مستقیماً از طریق آدرسهای IP متفاوت در کشورهای مختلف به دستگاههای My Book Live آسیبدیده متصل شدهاند. تحقیقات نشان میدهد در برخی موارد، یک مهاجم از هر دو آسیبپذیری دستگاه سوءاستفاده کرده و این حقیقت با بررسی IP منبع اثبات شده است. از آسیبپذیری اول برای نصب کد مخرب روی دستگاه و از آسیبپذیری دوم برای تنظیم مجدد آن استفاده شده است.
پاک شدن اطلاعات موجود در گروهی از دستگاههای ذخیرهسازی My Book Live وسترن دیجیتال در نتیجه سوءاستفاده از نهتنها یک آسیبپذیری بلکه اشکال امنیتی مهم ثانویهای بود که به هکرها امکان میداد از راه دور تنظیم مجدد کارخانه را بدون رمز عبور انجام بدهند.
آسیبپذیری مذکور بسیار مهم و قابل توجه تلقی میشود؛ زیرا احتمالا چندین پتابایت از دادههای کاربران را در زمان کوتاهی حذف کرده است. نکته مهمتری نیز وجود دارد؛ پس از بررسی کد آسیبپذیر، مشخص شد یک توسعهدهنده وسترن دیجیتال کدی که اعمال تنظیمات مجدد کارخانه را به رمز عبوری معتبر وابسته میکرد، حذف کرده است.
این آسیبپذیری در فایلی به نام system_factory_restore قرار دارد. فایل مذکور شامل اسکریپت PHP است که تنظیم مجدد را انجام و به کاربران امکان میدهد تمام تنظیمات پیشفرض را بازیابی و تمام دادههای ذخیرهشده در دستگاهها را پاک کنند.
معمولا برای بازنشانی دستگاه به تنظیمات کارخانه از کاربر رمز ورود خواسته میشود و اکنون میتوان دلیل این کار را متوجه شد. احراز هویت برای اطمینان از این است که فقط مالک اصلی و قانونی دستگاه آن را به تنظیمات کارخانه بازگرداند، نه هکر سودجویی که توانسته است به هر طریقی به آن متصل شود.
همانطور که اسکریپت زیر نشان میدهد، یکی از توسعهدهندگان وسترن دیجیتال پنج خط کد نوشته است تا از رمز عبور فرمان تنظیم مجدد دستگاه محافظت کند. به دلایل ناشناخته، دستور بررسی احراز هویت لغو شده است. همانطور که مشاهده میکنید در ابتدا هر خط دو کاراکتر / قرار گرفتهاند که نشاندهنده همین مسئله هستند.
function post($urlPath, $queryParams = null, $ouputFormat = 'xml') {
// if(!authenticateAsOwner($queryParams))
// {
// header("HTTP/1.0 401 Unauthorized");
// return;
// }
HD مور، متخصص امنیت و مدیر عامل پلتفرم Rumble، درباره این موضوع توضیح داد:
غیر فعال کردن کد احراز هویت در اندپوینت سیستم، باعث نمیشود همه چیز برای آنها خوب به نظر برسد. گویی آنها عمداً بایپس را فعال کردهاند.
برای سوءاستفاده از آسیبپذیری مذکور، مهاجم باید درباره فرمت درخواست XML که میتواند باعث بازنشانی دستگاه شود، اطلاع داشته باشد.
سرنوشت اطلاعات کاربران
کشف دومین آسیبپذیری، پنج روز پس از آن اتفاق افتاد که مردم سراسر جهان گزارش دادند دستگاههای My Book Live آنها به خطر افتاده و اطلاعاتشان پاک شده است. My Book Live یک دستگاه ذخیرهسازی به اندازه کتاب است که برای اتصال به شبکههای خانگی و اداری از اترنت استفاده میکند تا رایانههای متصل، به دادههای موجود در آن دسترسی داشته باشند. کاربران مجاز همچنین میتوانند به فایلهای خود دسترسی داشته باشند و از طریق اینترنت تغییرات پیکربندی را انجام بدهند. وسترن دیجیتال در سال ۲۰۱۵ پشتیبانی از My Book Live را متوقف کرد.
پرسنل وسترن دیجیتال پس از پاک شدن دادههای کاربران، مطلبی برای آنها ارسال کردند که در آن ذکر شده بود:
پاک شدن دادههای کاربران در نتیجه سوءاستفاده مهاجمان از CVE-2018-18472 است. این آسیبپذیری اجرای دستور از راه دور، در اواخر سال ۲۰۱۸ توسط دو محقق امنیتی به نامهای پاولوس ییبلو و دانیل اشتو کشف شده بود. آسیبپذیری مذکور سه سال پس از آنکه وسترن دیجیتال پشتیبانی از My Book Live را متوقف کرد ظاهر شد؛ در نتیجه این شرکت هرگز آن را برطرف نکرد.
تجزیه و تحلیل انجامشده توسط درک عبدین، مدیر ارشد فناوری شرکت امنیتی Censys، نشان داد که در هک گسترده دستگاههایی که هفته گذشته مورد حمله قرار گرفتهاند نیز از این آسیبپذیری سوءاستفاده شده بود. یکی از لاگهای مربوط به حملات اخیر که در انجمن پشتیبانی وسترن دیجیتال منتشر شده است، نشان میدهد فردی با آیپی 94.102.49.104 دستگاهی را با موفقیت بازیابی کرده است:
rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 PARAMETER System_factory_restore POST : erase = none
rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 OUTPUT System_factory_restore POST SUCCESS
فایل لاگ دیگری نیز از دستگاه هکشده My Book Live منتشر شده است که از همان آسیبپذیری سوءاستفاده کرده؛ اما آدرس IP متفاوتی (23.154.177.131) دارد. این گزارش به شرح زیر است:
Jun 16 07:28:41 MyBookLive REST_API[28538]: 23.154.177.131 PARAMETER System_factory_restore POST : erase = format
Jun 16 07:28:42 MyBookLive REST_API[28538]: 23.154.177.131 OUTPUT System_factory_restore POST SUCCESS
نمایندگان وسترن دیجیتال پس از دسترسی به این اطلاعات گفتند:
میتوانیم تأیید کنیم که حداقل در برخی موارد، مهاجمان از آسیبپذیری تزریق دستور (CVE-2018-18472) و به دنبال آن، آسیبپذیری تنظیم مجدد کارخانه استفاده کردهاند. دلیل سوءاستفاده مهاجمان از هر دو آسیبپذیری مشخص نیست. برای آسیبپذیری تنظیم مجدد کارخانه، CVE درخواست خواهیم کرد و برای درج این اطلاعات، بولتن خود را بهروز میکنیم.
آسیبپذیری رمزگذاریشده
کشف اخیر سؤال آزاردهندهای در ذهن افراد ایجاد کرده است: اگر هکرها قبلاً با بهرهبرداری از CVE-2018-18472 دسترسی کاملی به همه اطلاعات پیدا کرده بودند، چه نیازی به نقص امنیتی دوم داشتند؟ هیچ پاسخ روشنی برای این سؤال وجود ندارد؛ اما بر اساس شواهد موجود، عبدین نظریه قابل قبولی ارائه کرده است. براساس این نظریه ابتدا هکری از CVE-2018-18472 سوءاستفاده کرده، سپس رقیب او از آسیبپذیری دیگر بهره برده است تا بتواند کنترل دستگاه کسانی که قبلاً در معرض خطر بودند نیز در دست بگیرد.
- حذف ناگهانی تمام دادههای کاربران My Book Live وسترن دیجیتال
- وسترن دیجیتال در تلاش برای بازتعریف یکای «دور در دقیقه» است
مهاجمی که CVE-2018-18472 را کشف کرده، از قابلیت اجرای کد برای تغییر فایلی در پشته My Book Live با نام language_configuration.php، جایی که آسیبپذیری مذکور در آن قرار دارد، استفاده کرده است. طبق یک فایل بازیابیشده، خطوط زیر برای اصلاح به آن اضافه شده است:
function put($urlPath, $queryParams=null, $ouputFormat='xml'){
parse_str(file_get_contents("php://input"), $changes);
$langConfigObj = new LanguageConfiguration();
if(!isset($changes["submit"]) || sha1($changes["submit"]) != "56f650e16801d38f47bb0eeac39e21a8142d7da1")
{
die();
}
این تغییر باعث شد هیچکس نتواند از این آسیبپذیری بدون رمز عبور مربوط به رمزنگاری هش 56f650e16801d38f47bb0eeac39e21a8142d7da1 استفاده کند. به نظر میرسد رمز عبور این هش p$EFx3tQWoUbFc%B%R$k@ است.
فایل language_configuration اصلاحشده از یک دستگاه هکشده، از رمز عبور متفاوتی استفاده میکرد که مربوط به هش 05951edd7f05318019c4cfafab8e567afe7936d4 بود. هکرها از هش سوم (b18c3795fd377b51b7925b2b68ff818cc9115a47) برای محافظت از رمز عبور فایل جداگانهای به نام accessDenied.php استفاده میکردند.
تاکنون، تلاش برای شکستن دو هش دیگر موفقیت آمیز نبوده است.
طبق گفتههای وسترن دیجیتال، برخی از دستگاههای My Book Live هکشده با استفاده از CVE-2021-18472، به بدافزاری به نام .nttpd، 1-ppc-be-t1-z آلوده شدهاند که برای اجرای روی سختافزار PowerPC مورد استفاده دستگاههای My Book Live نوشته شده است. بر اساس گزارش یکی از کاربران انجمن پشتیبانی وسترن دیجیتال، My Book Live هکشده این بدافزار را دریافت کرده است و این مسئله باعث میشد دستگاهها به بخشی از باتنتی به نام Linux.Ngioweb تبدیل شوند.
ظهور یک نظریه
اما چرا کسی که با موفقیت بسیاری از دستگاههای My Book Live را به بخشی از یک باتنت تبدیل کرده است، برمیگردد و آنها را پاک و بازنشانی میکند؟ و چرا وقتی کسی دسترسی روت دارد، از احراز هویت بدون سند بایپس استفاده میکند؟
محتملترین پاسخ این است که پاک کردن و بازنشانی جمعی توسط مهاجمی متفاوت انجام شده؛ احتمالاً فردی که سعی در کنترل باتنت رقیب یا صرفا قصد خرابکاری داشته است.
عبدین اخیرا با انتشار پستی نوشت:
هنوز انگیزه مهاجمان مشخص نشده است؛ اما این مسئله میتواند تلاشی برای اپراتور رقیب باتنت باشد که این دستگاهها را تصاحب یا آنها را بیفایده کند.
کشف آسیبپذیری دوم به این معنی است که دستگاههای My Book Live حتی بیش از آنچه تصور میشد ناامن هستند. چنین مشکلی باعث میشود بیشتر به توصیههای وسترن دیجیتال درباره قطع اتصال دستگاههای ذخیرهسازی آن اهمیت داده شود؛ هرکسی از دستگاههای این شرکت استفاده میکند فورا باید این کار را انجام بدهد.
خرید دستگاه ذخیرهسازی دیگری از برند وسترن دیجیتال توسط افرادی که دادههای خود را از دست دادهاند، دور از ذهن به نظر میرسد. اما عبدین میگوید دستگاههای My Cloud Live که جایگزین محصولات My Book Live این شرکت شدهاند، دارای کد متفاوتی است که هیچ یک از آسیبپذیریهای استفادهشده در اتفاقات اخیر را ندارد. وی گفت:
به سیستم عامل My Cloud نگاهی انداختهام. دوباره بازنویسی شده است و شباهت بسیار کمی به My Book Live دارد؛ بنابر این آن مشکلات را ندارد.