Western Digital My Book Live var träffas med en attack förra veckan som ledde till att otaliga enheter återställdes till fabriksinställningarna, vilket resulterade i petabyte av förlorad data. Ursprungligen visade rapporter att huvudattacken utnyttjade en säkerhetssårbarhet från 2018, och även om det fortfarande är en av attackvektorerna, fanns det ytterligare en på spel. Och det kom ner till endast fem rader kod.
En utredning av Ars Technica avslöjade att en andra exploatering var på gång i åtminstone några av de drabbade enheterna. Detta andra utnyttjande gjorde det möjligt för angripare att fabriksåterställa enheterna på distans utan lösenord. Märkligt nog visade undersökningen att fem rader kod skulle ha skyddat återställningskommandot med ett lösenord, men de togs bort från den löpande koden.
Rekommenderade videor
Ännu konstigt, denna sårbarhet var inte avgörande för dataförlusten. Den ursprungliga exploateringen (CVE-2018-18472) tillät angripare att få root-åtkomst till enheter, stjäla data från dem innan de torkade enheten. Denna sårbarhet
upptäcktes 2018, men Western Digital avslutade stödet för My Book Live 2015. Säkerhetsbristen åtgärdades aldrig."Vi har granskat loggfiler som vi har fått från berörda kunder för att förstå och karakterisera attacken," Western Digital skrev i ett uttalande. "Vår undersökning visar att i vissa fall utnyttjade samma angripare båda sårbarheterna på enheten, vilket framgår av käll-IP. Den första sårbarheten utnyttjades för att installera en skadlig binär fil på enheten, och den andra sårbarheten utnyttjades senare för att återställa enheten."
Dessa två bedrifter uppnådde samma mål men med olika medel, vilket ledde till ett utredning från säkerhetsföretaget Censys att spekulera i att de var verk av två olika grupper av hackare. Utredningen säger att det är möjligt att en ursprunglig grupp angripare utnyttjade root-åtkomsten sårbarheter för att loopa enheterna till ett botnät (ett nätverk av datorer som hackare kan dra resurser från). En eventuell andra grupp angripare kom dock in och utnyttjade sårbarheten för lösenordsåterställning för att låsa ut de ursprungliga angriparna.
De två utnyttjarna gäller My Book Live och My Book Live Duo lagringsenheter. Dessa enheter ger användarna några terabyte nätverksansluten lagring, vilket är anledningen till att dessa attacker kunde ske i första hand. Western Digital säger att alla som har en My Book Live eller My Book Live Duo omedelbart bör koppla bort enheten från internet, även om den inte har blivit attackerad.
Western Digital, en tillverkare av hårddiskar och datalagringsföretag, erbjuder berörda kunder dataåterställningstjänster, som börjar i juli. En talesperson för Western Digital sa till Ars Technica att tjänsterna kommer att vara gratis. Det erbjuder också kunder ett inbytesprogram för att uppgradera till en nyare My Cloud-enhet, även om Western Digital inte har sagt när programmet lanseras.
Redaktörens rekommendationer
- WD My Book Live-ägare måste agera nu för att skydda sina data
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
