Western Digital Mijn Boek Live was geraakt met een aanval Vorige week leidde dat ertoe dat talloze schijven naar de fabrieksinstellingen werden gereset, wat resulteerde in petabytes aan verloren gegevens. Oorspronkelijk bleek uit rapporten dat bij de hoofdaanval gebruik werd gemaakt van een beveiligingsprobleem uit 2018, en hoewel dat nog steeds een van de aanvalsvectoren is, was er nog een andere in het spel. En het kwam neer op slechts vijf regels code.
Een onderzoek door Ars Technica onthulde dat er een tweede exploit aan het werk was op ten minste enkele van de getroffen schijven. Door deze tweede exploit konden aanvallers de schijven op afstand terugzetten naar de fabrieksinstellingen zonder wachtwoord. Vreemd genoeg bleek uit het onderzoek dat vijf regels code de reset-opdracht met een wachtwoord zouden hebben beschermd, maar dat ze uit de actieve code waren verwijderd.
Aanbevolen video's
Nog vreemder was dat deze kwetsbaarheid niet cruciaal was voor het gegevensverlies. De oorspronkelijke exploit (
CVE-2018-18472) zorgden ervoor dat aanvallers root-toegang tot schijven konden krijgen, waarbij ze de gegevens ervan konden stelen voordat ze de schijf konden wissen. Deze kwetsbaarheid werd ontdekt in 2018, maar Western Digital beëindigde de ondersteuning voor My Book Live in 2015. Het beveiligingslek is nooit opgelost.“We hebben de logbestanden beoordeeld die we van getroffen klanten hebben ontvangen om de aanval te begrijpen en te karakteriseren”, aldus Western Digital schreef in een verklaring. “Uit ons onderzoek blijkt dat in sommige gevallen dezelfde aanvaller misbruik maakte van beide kwetsbaarheden op het apparaat, zoals blijkt uit het bron-IP. De eerste kwetsbaarheid werd misbruikt om een kwaadaardig binair bestand op het apparaat te installeren, en de tweede kwetsbaarheid werd later uitgebuit om het apparaat te resetten.”
Deze twee exploits bereikten hetzelfde doel, maar met verschillende middelen, waardoor een onderzoek van beveiligingsbedrijf Censys om te speculeren dat ze het werk waren van twee verschillende groepen hackers. Uit het onderzoek blijkt dat het mogelijk is dat een oorspronkelijke groep aanvallers de root-toegang heeft misbruikt kwetsbaarheden om de schijven in een botnet te laten aansluiten (een netwerk van computers waaruit hackers bronnen kunnen putten). van). Een mogelijke tweede groep aanvallers kwam echter binnen en misbruikte het beveiligingslek voor het opnieuw instellen van het wachtwoord om de oorspronkelijke aanvallers buiten te sluiten.
De twee exploits zijn van toepassing op My Book Live- en My Book Live Duo-opslagapparaten. Deze schijven bieden gebruikers een paar terabytes aan netwerkopslag, wat de reden is dat deze aanvallen überhaupt konden plaatsvinden. Western Digital zegt dat iedereen met een My Book Live of My Book Live Duo de schijf onmiddellijk moet loskoppelen van het internet, zelfs als deze niet is aangevallen.
Western Digital, een fabrikant van harde schijven en een gegevensopslagbedrijf, biedt getroffen klanten datahersteldiensten aan, die in juli van start gaan. Een woordvoerder van Western Digital vertelde Ars Technica dat de diensten gratis zullen zijn. Het biedt klanten ook een inruilprogramma om te upgraden naar een nieuwer My Cloud-apparaat, hoewel Western Digital niet heeft gezegd wanneer het programma wordt gelanceerd.
Aanbevelingen van de redactie
- WD My Book Live-eigenaren moeten nu actie ondernemen om hun gegevens te beschermen
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
