Western Digital My Book Live var ramt med et angreb sidste uge, der førte til, at utallige drev blev nulstillet til fabriksindstillinger, hvilket resulterede i petabytes af tabte data. Oprindeligt viste rapporter, at hovedangrebet udnyttede en sikkerhedssårbarhed fra 2018, og selvom det stadig er en af angrebsvektorerne, var der endnu en på spil. Og det kom ned til kun fem linjer kode.
An undersøgelse fra Ars Technica afslørede, at en anden udnyttelse var på arbejde i mindst nogle af de berørte drev. Denne anden udnyttelse tillod angribere at fabriksindstille drevene eksternt uden en adgangskode. Mærkeligt nok afslørede undersøgelsen, at fem linjer kode ville have beskyttet nulstillingskommandoen med en adgangskode, men de blev fjernet fra den kørende kode.
Anbefalede videoer
Endnu mærkeligere, denne sårbarhed var ikke afgørende for datatabet. Den oprindelige udnyttelse (CVE-2018-18472) tillod angribere at få root-adgang til drev og stjæle data fra dem, før de slettede drevet. Denne sårbarhed
blev opdaget i 2018, men Western Digital afsluttede supporten til My Book Live i 2015. Sikkerhedsfejlen blev aldrig rettet."Vi har gennemgået logfiler, som vi har modtaget fra berørte kunder for at forstå og karakterisere angrebet," Western Digital skrev i en udtalelse. "Vores undersøgelse viser, at den samme angriber i nogle tilfælde udnyttede begge sårbarheder på enheden, hvilket fremgår af kildens IP-adresse. Den første sårbarhed blev udnyttet til at installere en ondsindet binær fil på enheden, og den anden sårbarhed blev senere udnyttet til at nulstille enheden."
Disse to bedrifter opnåede det samme mål, men med forskellige midler, hvilket førte til en undersøgelse fra sikkerhedsfirmaet Censys at spekulere i, at de var værket af to forskellige grupper af hackere. Undersøgelsen siger, at det er muligt, at en original gruppe angribere udnyttede root-adgangen sårbarheder til at sløjfe drevene til et botnet (et netværk af computere, som hackere kan trække ressourcer fra). En mulig anden gruppe angribere kom dog ind og udnyttede sårbarheden til nulstilling af adgangskode til at låse de oprindelige angribere ude.
De to udnyttelser gælder for My Book Live og My Book Live Duo lagringsenheder. Disse drev giver brugerne et par terabyte netværkstilsluttet lagerplads, hvilket er grunden til, at disse angreb var i stand til at ske i første omgang. Western Digital siger, at alle med en My Book Live eller My Book Live Duo straks skal afbryde drevet fra internettet, selvom det ikke er blevet angrebet.
Western Digital, en producent af computerharddiske og datalagringsvirksomhed, tilbyder berørte kunder datagendannelsestjenester, som begynder i juli. En talsmand for Western Digital fortalte Ars Technica, at tjenesterne vil være gratis. Det tilbyder også kunderne et bytteprogram for at opgradere til en nyere My Cloud-enhed, selvom Western Digital ikke har sagt, hvornår programmet lanceres.
Redaktørens anbefalinger
- WD My Book Live-ejere skal handle nu for at beskytte deres data
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
