Western Digital My Book Live var truffet med et angrep forrige uke som førte til at utallige stasjoner ble tilbakestilt til fabrikkstandard, noe som resulterte i petabyte med tapte data. Opprinnelig viste rapporter at hovedangrepet utnyttet en sikkerhetssårbarhet fra 2018, og selv om det fortsatt er en av angrepsvektorene, var det en annen på spill. Og det kom ned til bare fem linjer med kode.
An etterforskning av Ars Technica avslørte at en annen utnyttelse var på jobb i minst noen av de berørte diskene. Denne andre utnyttelsen tillot angripere å tilbakestille stasjonene eksternt uten passord. Merkelig nok avslørte undersøkelsen at fem linjer med kode ville ha beskyttet tilbakestillingskommandoen med et passord, men de ble fjernet fra den kjørende koden.
Anbefalte videoer
Enda merkeligere, denne sårbarheten var ikke avgjørende for datatapet. Den opprinnelige utnyttelsen (CVE-2018-18472) tillot angripere å få root-tilgang til stasjoner, og stjele dataene fra dem før de tørket stasjonen. Denne sårbarheten
ble oppdaget i 2018, men Western Digital avsluttet støtten for My Book Live i 2015. Sikkerhetsfeilen ble aldri fikset."Vi har gjennomgått loggfiler som vi har mottatt fra berørte kunder for å forstå og karakterisere angrepet," Western Digital skrev i en uttalelse. "Undersøkelsen vår viser at i noen tilfeller utnyttet den samme angriperen begge sårbarhetene på enheten, noe som fremgår av kildens IP. Den første sårbarheten ble utnyttet til å installere en ondsinnet binærfil på enheten, og den andre sårbarheten ble senere utnyttet for å tilbakestille enheten.»
Disse to bedriftene oppnådde samme mål, men med forskjellige midler, og ledet en etterforskning fra sikkerhetsfirmaet Censys å spekulere i at de var arbeidet til to forskjellige grupper hackere. Etterforskningen sier at det er mulig at en original gruppe angripere utnyttet root-tilgangen sårbarheter for å sløyfe stasjonene inn i et botnett (et nettverk av datamaskiner som hackere kan trekke ressurser fra). Imidlertid kom en mulig andre gruppe angripere inn og utnyttet sikkerhetsproblemet for tilbakestilling av passord for å låse de opprinnelige angriperne ute.
De to utnyttelsene gjelder My Book Live og My Book Live Duo lagringsenheter. Disse stasjonene gir brukerne noen få terabyte med nettverkstilkoblet lagring, og det er grunnen til at disse angrepene kunne skje i utgangspunktet. Western Digital sier at alle med en My Book Live eller My Book Live Duo umiddelbart bør koble stasjonen fra internett, selv om den ikke har blitt angrepet.
Western Digital, en produsent av harddiskstasjoner og datalagringsselskap, tilbyr berørte kunder datagjenopprettingstjenester, som starter i juli. En talsperson for Western Digital sa til Ars Technica at tjenestene vil være gratis. Det tilbyr også kundene et innbytteprogram for å oppgradere til en nyere My Cloud-enhet, selv om Western Digital ikke har sagt når programmet lanseres.
Redaktørenes anbefalinger
- WD My Book Live-eiere må handle nå for å beskytte dataene sine
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
