Western Digital My Book Live był uderzyć atakiem w zeszłym tygodniu doprowadziło to do przywrócenia ustawień fabrycznych niezliczonych dysków, co spowodowało utratę petabajtów danych. Pierwotnie raporty wskazywały, że główny atak wykorzystywał lukę w zabezpieczeniach z 2018 r. i choć nadal jest to jeden z wektorów ataku, w grę wchodził inny. A wszystko sprowadzało się do zaledwie pięciu linii kodu.
Jakiś dochodzenie Ars Technica ujawniło, że co najmniej na niektórych dyskach objętych atakiem działał drugi exploit. Ten drugi exploit umożliwił atakującym zdalne przywrócenie ustawień fabrycznych dysków bez hasła. Co ciekawe, dochodzenie wykazało, że pięć linii kodu chroniłoby polecenie resetowania hasłem, ale zostały one usunięte z działającego kodu.
Polecane filmy
Co dziwniejsze, luka ta nie miała krytycznego wpływu na utratę danych. Oryginalny exploit (CVE-2018-18472) umożliwiło atakującym uzyskanie dostępu roota do dysków i kradzież z nich danych przed wyczyszczeniem dysku. Ta luka odkryto w 2018 roku
, ale firma Western Digital zakończyła obsługę My Book Live w 2015 r. Luka w zabezpieczeniach nigdy nie została naprawiona.„Przeanalizowaliśmy pliki dziennika otrzymane od klientów, których to dotyczyło, aby zrozumieć i scharakteryzować atak” – Western Digital – napisano w oświadczeniu. „Nasze dochodzenie pokazuje, że w niektórych przypadkach ten sam napastnik wykorzystywał obie luki w urządzeniu, o czym świadczy źródłowy adres IP. Pierwszą lukę wykorzystano do zainstalowania szkodliwego pliku binarnego na urządzeniu, a drugą lukę później wykorzystano do zresetowania urządzenia.
Te dwa exploity osiągnęły ten sam cel, ale różnymi środkami, prowadząc: dochodzenie prowadzone przez firmę ochroniarską Censys spekulować, że były one dziełem dwóch różnych grup hakerów. Z dochodzenia wynika, że możliwe jest, że pierwotna grupa atakujących wykorzystała dostęp do konta root luki umożliwiające zapętlenie dysków w botnet (sieć komputerów, z której hakerzy mogą pobierać zasoby). z). Jednak możliwa była druga grupa atakujących, która wykorzystała lukę w zabezpieczeniach umożliwiającą zresetowanie hasła, aby zablokować pierwotnych napastników.
Obydwa exploity dotyczą urządzeń pamięci masowej My Book Live i My Book Live Duo. Dyski te zapewniają użytkownikom kilka terabajtów pamięci masowej podłączonej do sieci i dlatego w ogóle mogły dojść do tych ataków. Firma Western Digital twierdzi, że każdy posiadacz dysku My Book Live lub My Book Live Duo powinien natychmiast odłączyć dysk od Internetu, nawet jeśli nie został on zaatakowany.
Western Digital, producent dysków twardych do komputerów i firma zajmująca się przechowywaniem danych, oferuje klientom dotkniętym usługą odzyskiwania danych, które rozpoczną się w lipcu. Rzecznik Western Digital powiedział Ars Technica, że usługi będą bezpłatne. Oferuje także klientom program wymiany umożliwiający aktualizację do nowszego urządzenia My Cloud, choć firma Western Digital nie podała, kiedy program zostanie uruchomiony.
Zalecenia redaktorów
- Właściciele dysków WD My Book Live muszą działać już teraz, aby chronić swoje dane
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
