Una pelea entre dos grupos hackers terminó borrando miles de discos duros

Hace unos días conocimos uno de los hackeos más graves que recordamos en años, donde los discos duros externos WD My Book Live con conexión a Internet habían sido hackeados, y sus datos completamente borrados. Estos discos duros en red (NAS) llevaban desde 2015 sin soporte de actualizaciones, lo que los hacía vulnerables. Sin embargo, el caso es mucho más complejo, y ha sido una pelea entre hackers lo que ha llevado a este borrado.

El 23 de julio, multitud de usuarios de WD empezaron a quejarse de que los datos de sus discos duros se habían borrado. Al revisar el registro de borrado, algunos descubrieron que alguien había ejecutado un comando de manera remota para resetear todo el contenido de los discos duros, sin pedir ningún tipo de contraseña para ello.

Podían resetearse sin contraseña

Tras analizar el suceso, los investigadores de seguridad han descubierto una vulnerabilidad en el sistema de restauración de archivos, donde un script PHP realiza un reseteo a las configuraciones de fábrica y borra todos los datos. Una función así, normalmente, requiere introducir una contraseña de confirmación, pero al revisar el código se dieron cuenta de que las líneas de código que solicitaban la contraseña estaban puestas como comentarios con // al principio, de manera que no se ejecutaban.

Esa es una parte de la vulnerabilidad, y para ejecutarla tenían que aprovecharse de otra disponible. Los atacantes lo tuvieron tan fácil como acudir a la vulnerabilidad que descubrieron en 2018 dos investigadores llamados Paulos Yibelo y Daniel Eshetu. La vulnerabilidad fue reconocida por Western Digital y se le asignó el código CVE-2018-18472.

Sin embargo, como ya no ofrecían soporte para esos modelos, no la parchearon nunca, permitiendo que cualquier atacante que la descubriese pudiera aprovecharla. Para ello, el atacante tan sólo tiene que conocer la dirección IP del dispositivo afectado, pasando a realizar una ejecución de código remoto.

Curiosamente, con la vulnerabilidad CVE-2018-18472, los atacantes ya tenían acceso completo al dispositivo, y no necesitaban aprovecharse de la segunda. La teoría detrás de ello es que un primer hacker aprovechase CVE-2018-18472, y un hacker rival posteriormente intentase ejecutar la otra vulnerabilidad para tomar el control de los demás dispositivos y hacer que pasaran a formar parte de una botnet controlada por ellos.

Una batalla de hackers, la explicación más lógica

El primer hacker, de hecho, modificó un archivo en los discos duros para ponerles una contraseña correspondiente al hash 56f650e16801d38f47bb0eeac39e21a8142d7da1, que en texto plano es p$EFx3tQWoUbFc%B%R$k@. También utilizaron otras contraseñas en otros dispositivos y archivos como protección en el caso de que WD lanzase una actualización que parchease el primer archivo vulnerable.

Algunos de los discos duros hackeados mediante CVE-2018-18472 han sido infectados también con un malware llamado .nttpd,1-ppc-be-t1-z, el cual ha sido escrito para ejecutarse en el hardware PowerPC que usan estos dispositivos de WD. Con este malware, los discos duros pasan a formar parte de una botnet llamada Linux.Ngioweb, con la cual pueden lanzar ataques DDoS.

Por ello, tiene sentido que un segundo hacker quisiera controlar el dispositivo o simplemente fastidiar a este hacker rival, y ejecutó el comando para resetear los discos duros. Gracias a ello, sus dueños han descubierto que habían sido hackeados, ya que de otra forma podrían haberles robado más datos de esos discos duros. Por ello, es importantísimo desconectar estos dispositivos de Internet y usarlos como discos duros locales. Los dispositivos más modernos de WD no están afectados por estos fallos, por lo que sus dueños pueden respirar tranquilos.