Western Digital My Book Live foi acertar com um ataque na semana passada, isso levou à redefinição de fábrica de inúmeras unidades, resultando em petabytes de dados perdidos. Originalmente, os relatórios mostravam que o ataque principal explorou uma vulnerabilidade de segurança de 2018 e, embora esse ainda seja um dos vetores de ataque, havia outro em jogo. E tudo se resumiu a apenas cinco linhas de código.
Um investigação da Ars Technica revelou que uma segunda exploração estava em ação em pelo menos algumas das unidades afetadas. Esta segunda exploração permitiu que os invasores redefinissem as unidades de fábrica remotamente, sem uma senha. Curiosamente, a investigação revelou que cinco linhas de código teriam protegido o comando de reset com uma senha, mas foram removidas do código em execução.
Vídeos recomendados
Ainda mais estranho, esta vulnerabilidade não foi crítica para a perda de dados. A exploração original (CVE-2018-18472) permitiu que invasores obtivessem acesso root às unidades, roubando os dados delas antes de limpar a unidade. Esta vulnerabilidade
foi descoberto em 2018, mas a Western Digital encerrou o suporte para My Book Live em 2015. A falha de segurança nunca foi corrigida.“Revisamos os arquivos de log que recebemos dos clientes afetados para compreender e caracterizar o ataque”, disse Western Digital escreveu em um comunicado. “Nossa investigação mostra que, em alguns casos, o mesmo invasor explorou ambas as vulnerabilidades no dispositivo, conforme evidenciado pelo IP de origem. A primeira vulnerabilidade foi explorada para instalar um binário malicioso no dispositivo, e a segunda vulnerabilidade foi posteriormente explorada para reiniciar o dispositivo.”
Estas duas explorações alcançaram o mesmo objectivo, mas com meios diferentes, levando a uma investigação da empresa de segurança Censys especular que eram obra de dois grupos diferentes de hackers. A investigação diz que é possível que um grupo original de invasores tenha explorado o acesso root vulnerabilidades para conectar as unidades em uma botnet (uma rede de computadores que os hackers podem extrair recursos de). No entanto, um possível segundo grupo de invasores entrou e explorou a vulnerabilidade de redefinição de senha para bloquear os invasores originais.
As duas explorações se aplicam aos dispositivos de armazenamento My Book Live e My Book Live Duo. Essas unidades fornecem aos usuários alguns terabytes de armazenamento conectado à rede, e é por isso que esses ataques puderam acontecer em primeiro lugar. A Western Digital diz que qualquer pessoa com My Book Live ou My Book Live Duo deve desconectar imediatamente a unidade da Internet, mesmo que ela não tenha sido atacada.
A Western Digital, fabricante de unidades de disco rígido para computadores e empresa de armazenamento de dados, está oferecendo aos clientes afetados serviços de recuperação de dados, que começarão em julho. Um porta-voz da Western Digital disse à Ars Technica que os serviços serão gratuitos. Também está oferecendo aos clientes um programa de troca para atualizar para um dispositivo My Cloud mais recente, embora a Western Digital não tenha informado quando o programa será lançado.
Recomendações dos Editores
- Os proprietários do WD My Book Live precisam agir agora para proteger seus dados
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.