توضیحات تکمیلی وسترن دیجیتال درباره حذف داده‌های My Book Live

چندی پیش گزارشی در فضای مجازی منتشر شد که از حذف شدن ناگهانی تمام داده‌های بعضی از کاربران My Book Live وسترن دیجیتال خبر می‌داد. این مشکل برای اولین بار توسط یکی از کاربران گزارش شد و سپس افراد بیشتری از سراسر دنیا تجربه کردن شرایط مشابه را اعلام کردند. اکنون این شرکت اطلاعات جدیدی درباره علت حذف اطلاعات کاربران منتشر کرده است.

طبق گزارش Arstechnica، وسترن دیجیتال خبر داده است که از اوایل ماه آینده خدمات بازیابی اطلاعات را به کاربران خود ارائه خواهد داد. همچنین مشتریان My Book Live واجد شرایط برنامه جدید این شرکت خواهند بود تا به دستگاه‌های My Cloud ارتقا پیدا کنند.

وسترن دیجیتال جزئیات فنی جدیدی درباره «روز صفر» ارائه داده است که اکنون با عنوان CVE-2021-35941 بررسی می‌شود. مسئولان شرکت نوشتند:

نگرانی‌هایی در مورد ماهیت این آسیب‌پذیری به گوش ما رسیده است؛ به همین دلیل جزئیات فنی را برای حل این سؤال‌ها به اشتراک می‌گذاریم. تشخیص داده‌ایم که آسیب‌پذیری فکتوری ریست غیر مجاز در آوریل ۲۰۱۱ به‌عنوان بخشی از ریفکتور احراز هویت در میان‌افزار دستگاه به My Book Live وارد شده است. ریفکتور مذکور، احراز هویت را در یک فایل واحد متمرکز می‌کند. این فایل با عنوان includes/component_config.php در دستگاه وجود دارد و شامل نوع احراز هویت مورد نیاز هر اندپوینت است. در این ریفکتور، احراز هویت در system_factory_restore.php به‌درستی غیر فعال شده بود؛ اما نوع تأیید اعتبار مناسب ADMIN_AUTH_LAN_ALL به component_config.php اضافه نشده و در نهایت منجر به آسیب‌پذیری شده است. همان ریفکتور، احراز هویت را از فایل‌های دیگر حذف کرده و نسخه مناسب آن را به‌درستی به فایل component_config.php افزوده است.

در ادامه این پست آمده است:

ما فایل‌های گزارش مشتریانی که تحت تأثیر این مسئله قرار گرفتند دریافت کردیم و برای درک بیشتر این حمله آن‌ها را مورد بررسی قرار دادیم. گزارش‌هایی که بررسی کردیم، نشان می‌دهند مهاجمان مستقیماً از طریق آدرس‌های IP متفاوت در کشورهای مختلف به دستگاه‌های My Book Live آسیب‌دیده متصل شده‌اند. تحقیقات نشان می‌دهد در برخی موارد، یک مهاجم از هر دو آسیب‌پذیری دستگاه سوءاستفاده کرده و این حقیقت با بررسی IP منبع اثبات شده است. از آسیب‌پذیری اول برای نصب کد مخرب روی دستگاه و از آسیب‌پذیری دوم برای تنظیم مجدد آن استفاده شده است.

پاک شدن اطلاعات موجود در گروهی از دستگاه‌های ذخیره‌سازی My Book Live وسترن دیجیتال در نتیجه سوءاستفاده از نه‌تنها یک آسیب‌پذیری بلکه اشکال امنیتی مهم ثانویه‌ای بود که به هکرها امکان می‌داد از راه دور تنظیم مجدد کارخانه را بدون رمز عبور انجام بدهند.

آسیب‌پذیری مذکور بسیار مهم و قابل توجه تلقی می‌شود؛ زیرا احتمالا چندین پتابایت از داده‌های کاربران را در زمان کوتاهی حذف کرده است. نکته مهم‌تری نیز وجود دارد؛ پس از بررسی کد آسیب‌‌پذیر، مشخص شد یک توسعه‌دهنده وسترن دیجیتال کدی که اعمال تنظیمات مجدد کارخانه را به رمز عبوری معتبر وابسته می‌کرد، حذف کرده است.

این آسیب‌پذیری در فایلی به نام system_factory_restore قرار دارد. فایل مذکور شامل اسکریپت PHP است که تنظیم مجدد را انجام و به کاربران امکان می‌دهد تمام تنظیمات پیش‌فرض را بازیابی و تمام داده‌های ذخیره‌شده در دستگاه‌ها را پاک کنند.

معمولا برای بازنشانی دستگاه به تنظیمات کارخانه از کاربر رمز ورود خواسته می‌شود و اکنون می‌توان دلیل این کار را متوجه شد. احراز هویت برای اطمینان از این است که فقط مالک اصلی و قانونی دستگاه آن را به تنظیمات کارخانه بازگرداند، نه هکر سودجویی که توانسته است به هر طریقی به آن متصل شود.

همان‌طور که اسکریپت زیر نشان می‌دهد، یکی از توسعه‌دهندگان وسترن دیجیتال پنج خط کد نوشته است تا از رمز عبور فرمان تنظیم مجدد دستگاه محافظت کند. به دلایل ناشناخته، دستور بررسی احراز هویت لغو شده است. همان‌طور که مشاهده می‌کنید در ابتدا هر خط دو کاراکتر / قرار گرفته‌اند که نشان‌دهنده همین مسئله هستند.

function post($urlPath, $queryParams = null, $ouputFormat = 'xml') {

    // if(!authenticateAsOwner($queryParams))

    // {

    //      header("HTTP/1.0 401 Unauthorized");

    //      return;

    // }

HD مور، متخصص امنیت و مدیر عامل پلتفرم Rumble، درباره این موضوع توضیح داد:

غیر فعال کردن کد احراز هویت در اندپوینت سیستم، باعث نمی‌شود همه چیز برای آن‌ها خوب به نظر برسد. گویی آن‌ها عمداً بای‌پس را فعال کرده‌اند.

برای سوءاستفاده از آسیب‌پذیری مذکور، مهاجم باید درباره فرمت درخواست XML که می‌تواند باعث بازنشانی دستگاه شود، اطلاع داشته باشد.

سرنوشت اطلاعات کاربران

کشف دومین آسیب‌پذیری، پنج روز پس از آن اتفاق افتاد که مردم سراسر جهان گزارش دادند دستگاه‌های My Book Live آن‌ها به خطر افتاده و اطلاعاتشان پاک شده است. My Book Live یک دستگاه ذخیره‌سازی به اندازه کتاب است که برای اتصال به شبکه‌های خانگی و اداری از اترنت استفاده می‌کند تا رایانه‌های متصل، به داده‌های موجود در آن دسترسی داشته باشند. کاربران مجاز همچنین می‌توانند به فایل‌های خود دسترسی داشته باشند و از طریق اینترنت تغییرات پیکربندی را انجام بدهند. وسترن دیجیتال در سال ۲۰۱۵ پشتیبانی از My Book Live را متوقف کرد.

پرسنل وسترن دیجیتال پس از پاک شدن داده‌های کاربران، مطلبی برای آن‌ها ارسال کردند که در آن ذکر شده بود:

پاک شدن داده‌های کاربران در نتیجه سوءاستفاده مهاجمان از CVE-2018-18472 است. این آسیب‌پذیری اجرای دستور از راه دور، در اواخر سال ۲۰۱۸ توسط دو محقق امنیتی به نام‌های پاولوس ییبلو و دانیل اشتو کشف شده بود. آسیب‌پذیری مذکور سه سال پس از آنکه وسترن دیجیتال پشتیبانی از My Book Live را متوقف کرد ظاهر شد؛ در نتیجه این شرکت هرگز آن را برطرف نکرد.

تجزیه و تحلیل انجام‌شده توسط درک عبدین، مدیر ارشد فناوری شرکت امنیتی Censys، نشان داد که در هک گسترده دستگاه‌هایی که هفته گذشته مورد حمله قرار گرفته‌اند نیز از این آسیب‌پذیری سوءاستفاده شده بود. یکی از لاگ‌های مربوط به حملات اخیر که در انجمن پشتیبانی وسترن دیجیتال منتشر شده است، نشان می‌دهد فردی با آی‌پی 94.102.49.104 دستگاهی را با موفقیت بازیابی کرده است:

rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 PARAMETER System_factory_restore POST : erase = none

rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 OUTPUT System_factory_restore POST SUCCESS

فایل لاگ دیگری نیز از دستگاه هک‌شده My Book Live منتشر شده است که از همان آسیب‌پذیری سوءاستفاده کرده؛ اما آدرس IP متفاوتی (23.154.177.131) دارد. این گزارش به شرح زیر است:

Jun 16 07:28:41 MyBookLive REST_API[28538]: 23.154.177.131 PARAMETER System_factory_restore POST : erase = format

Jun 16 07:28:42 MyBookLive REST_API[28538]: 23.154.177.131 OUTPUT System_factory_restore POST SUCCESS

نمایندگان وسترن دیجیتال پس از دسترسی به این اطلاعات گفتند:

می‌توانیم تأیید کنیم که حداقل در برخی موارد، مهاجمان از آسیب‌پذیری تزریق دستور (CVE-2018-18472) و به دنبال آن، آسیب‌پذیری تنظیم مجدد کارخانه استفاده کرده‌اند. دلیل سوءاستفاده مهاجمان از هر دو آسیب‌پذیری مشخص نیست. برای آسیب‌پذیری تنظیم مجدد کارخانه، CVE درخواست خواهیم کرد و برای درج این اطلاعات، بولتن خود را به‌روز می‌کنیم.

آسیب‌پذیری رمزگذاری‌شده

کشف اخیر سؤال آزاردهنده‌ای در ذهن افراد ایجاد کرده است: اگر هکرها قبلاً با بهره‌برداری از CVE-2018-18472 دسترسی کاملی به همه اطلاعات پیدا کرده بودند، چه نیازی به نقص امنیتی دوم داشتند؟ هیچ پاسخ روشنی برای این سؤال وجود ندارد؛ اما بر اساس شواهد موجود، عبدین نظریه قابل قبولی ارائه کرده است. براساس این نظریه ابتدا هکری از CVE-2018-18472 سوءاستفاده کرده، سپس رقیب او از آسیب‌پذیری دیگر بهره برده است تا بتواند کنترل دستگاه کسانی که قبلاً در معرض خطر بودند نیز در دست بگیرد.

مقاله‌های مرتبط:

• حذف ناگهانی تمام داده‌های کاربران My Book Live وسترن دیجیتال
• وسترن دیجیتال در تلاش برای بازتعریف یکای «دور در دقیقه» است

مهاجمی که CVE-2018-18472 را کشف کرده، از قابلیت اجرای کد برای تغییر فایلی در پشته My Book Live با نام language_configuration.php، جایی که آسیب‌پذیری مذکور در آن قرار دارد، استفاده کرده است. طبق یک فایل بازیابی‌شده، خطوط زیر برای اصلاح به آن اضافه شده است:

function put($urlPath, $queryParams=null, $ouputFormat='xml'){

     parse_str(file_get_contents("php://input"), $changes);

     $langConfigObj = new LanguageConfiguration();

    if(!isset($changes["submit"]) || sha1($changes["submit"]) != "56f650e16801d38f47bb0eeac39e21a8142d7da1")

    {

    die();

    }

این تغییر باعث شد هیچکس نتواند از این آسیب‌پذیری بدون رمز عبور مربوط به رمزنگاری هش 56f650e16801d38f47bb0eeac39e21a8142d7da1 استفاده کند. به نظر می‌رسد رمز عبور این هش p$EFx3tQWoUbFc%B%R$k@ است.

فایل language_configuration اصلاح‌شده از یک دستگاه هک‌شده، از رمز عبور متفاوتی استفاده می‌کرد که مربوط به هش 05951edd7f05318019c4cfafab8e567afe7936d4 بود. هکرها از هش سوم (b18c3795fd377b51b7925b2b68ff818cc9115a47) برای محافظت از رمز عبور فایل جداگانه‌ای به نام accessDenied.php استفاده می‌کردند.

تاکنون، تلاش برای شکستن دو هش دیگر موفقیت آمیز نبوده است.

طبق گفته‌های وسترن دیجیتال، برخی از دستگاه‌های My Book Live هک‌شده با استفاده از CVE-2021-18472، به بدافزاری به نام .nttpd، 1-ppc-be-t1-z آلوده شده‌اند که برای اجرای روی سخت‌افزار PowerPC مورد استفاده دستگاه‌های My Book Live نوشته شده است. بر اساس گزارش یکی از کاربران انجمن پشتیبانی وسترن دیجیتال، My Book Live هک‌شده این بدافزار را دریافت کرده است و این مسئله باعث می‌شد دستگاه‌ها به بخشی از بات‌نتی به نام Linux.Ngioweb تبدیل شوند.

ظهور یک نظریه

اما چرا کسی که با موفقیت بسیاری از دستگاه‌های My Book Live را به بخشی از یک بات‌نت تبدیل کرده است، برمی‌گردد و آن‌ها را پاک و بازنشانی می‌کند؟ و چرا وقتی کسی دسترسی روت دارد، از احراز هویت بدون سند بای‌پس استفاده می‌کند؟

محتمل‌ترین پاسخ این است که پاک کردن و بازنشانی جمعی توسط مهاجمی متفاوت انجام شده؛ احتمالاً فردی که سعی در کنترل بات‌نت رقیب یا صرفا قصد خرابکاری داشته است.

عبدین اخیرا با انتشار پستی نوشت:

هنوز انگیزه‌ مهاجمان مشخص نشده است؛ اما این مسئله می‌تواند تلاشی برای اپراتور رقیب بات‌نت باشد که این دستگاه‌ها را تصاحب یا آن‌ها را بی‌فایده کند.

کشف آسیب‌پذیری دوم به این معنی است که دستگاه‌های My Book Live حتی بیش از آنچه تصور می‌شد ناامن هستند. چنین مشکلی باعث می‌شود بیشتر به توصیه‌های وسترن دیجیتال درباره قطع اتصال دستگاه‌های ذخیره‌سازی آن اهمیت داده شود؛ هرکسی از دستگاه‌های این شرکت استفاده می‌کند فورا باید این کار را انجام بدهد.

خرید دستگاه‌ ذخیره‌سازی دیگری از برند وسترن دیجیتال توسط افرادی که داده‌های خود را از دست داده‌اند، دور از ذهن به نظر می‌رسد. اما عبدین می‌گوید دستگاه‌های My Cloud Live که جایگزین محصولات My Book Live این شرکت شده‌اند، دارای کد متفاوتی است که هیچ یک از آسیب‌پذیری‌های استفاده‌شده در اتفاقات اخیر را ندارد. وی گفت:

به سیستم‌ عامل My Cloud نگاهی انداخته‌ام. دوباره بازنویسی شده است و شباهت بسیار کمی به My Book Live دارد؛ بنابر این آن مشکلات را ندارد.