WD MyBook Live: la cancellazione di massa frutto di una falla 0-Day

Il brutto episodio della cancellazione di massa dei dati presenti sui dispositivi di archiviazione Western digital MyBook Live avvenuta la scorsa settimana è stato frutto dello sfruttamento non solo di una vulnerabilità già nota fin dal 2018, ma anche di un secondo bug di sicurezza che ha permesso agli hacker di eseguire un ripristino delle impostazioni di fabbrica da remoto e senza che si rendesse necessaria l'immissione di una password.

Si tratta di un bug di particolare gravità perché ha permesso di cancellare in maniera tutto sommato semplice un volume complessivo nell'ordine di grandezza dei petabyte di dati di proprietà degli utenti. La vulnerabilità non documentata risiedeva in un file denominato "system_factory_restore", il quale contiene uno script PHP che ha il compito di eseguire il ripristino del dispositivo alla configurazione predefinita, cancellando al contempo tutti i dati memorizzati sul dispositivo. Solitamente questo genere di funzionalità viene protetto da password, così da prevenire che i dispositivi esposti su Internet possano essere ripristinati solamente dal legittimo proprietario e non da eventuali malintenzionati.

Tuttavia, come detto, lo script che si occupa di gestire tale funzionalità non prevede l'inserimento di una password. O meglio: in origine lo prevedeva ma a quanto pare uno sviluppatore ha annullato questo controllo di autenticazione. Per dirla nel gergo degli sviluppatori, le linee di codice che stabilivano la protezione con password sono state "commentate", cioè vi è stato apposto il doppio carattere / all'inizio della riga trasformandole appunto in un commento e non in una linea di codice funzionale.

Quanto successo la scorsa settimana è quindi frutto di due diversi tipi di vulnerabilità: la già nota CVE-2018-18472 (che consente l'accesso di root al dispositivo) e questa nuova falla 0-day mai documentata. Western Digital ha confermato che in alcune situazioni le vulnerabilità sono risultate sfruttate una dopo l'altra, ma a questo punto non è chiaro per quale motivo. Se gli hacker, infatti, avessero già ottenuto l'accesso root completo sfruttando la vulnerabilità CVE-2018-18472, per quale motivo avrebbero dovuto usare anche questa seconda falla di sicurezza?

Western Digital ha potuto riscontrare come alcuni dei dispositivi My Book Live compromessi utilizzando la nota vulnerabilità CVE-2021-18472 sono stati infettati da un malware chiamato .nttpd,1-ppc-be-t1-z, che è stato scritto per essere eseguito sull'hardware PowerPC utilizzato dai dispositivi My Book Live e che rende i dispositivi parte di una botnet chiamata Linux.Ngioweb. Perché mai dover vanificare un arruolamento di massa in una botnet con il successivo ripristino dei dispositivi? E, soprattutto, perché farlo usando un'altra vulnerabilità quando già si dispone di un accesso di root? La teoria più plausibile è che il ripristino di massa sia stato condotto da un'altra mano, probabilmente un'entità rivale che ha cercato di prendere il controllo della botnet o sabotarla.

La scoperta di questa seconda vulnerabilità, tuttavia, rende i dispoisitivi My Book Live ancor meno sicuri rispetto a quanto già non fosse. La buona notizia è che la linea di prodotti My Cloud Live, che ha sostituito My Book Live, non è affetta da questo genere di problema in quanto il codice di base è diverso.

Per ulteriori approfondimenti si rimanda alle indicazioni ufficiali fornite da Western Digital, pubblicate a questa pagina.