Western Digital My Book Live був вдарити нападом минулого тижня, що призвело до скидання незліченних дисків до заводських налаштувань, що призвело до втрати петабайтів даних. Спочатку звіти показали, що основна атака використовувала вразливість системи безпеки з 2018 року, і хоча це все ще один із векторів атаки, був інший. І це звелося лише до п’яти рядків коду.
Ан розслідування Ars Technica показало, що принаймні на деяких уражених дисках працював другий експлойт. Цей другий експлойт дозволив зловмисникам віддалено скинути заводські налаштування дисків без пароля. Цікаво, що розслідування показало, що п’ять рядків коду могли захистити команду скидання паролем, але їх було видалено з запущеного коду.
Рекомендовані відео
Що ще дивніше, ця вразливість не була критичною для втрати даних. Оригінальний експлойт (CVE-2018-18472) дозволяв зловмисникам отримати кореневий доступ до дисків, викрадаючи з них дані перед видаленням диска. Ця вразливість було виявлено в 2018 році, але Western Digital припинив підтримку My Book Live у 2015 році. Помилка безпеки не була виправлена.
«Ми переглянули файли журналів, які ми отримали від постраждалих клієнтів, щоб зрозуміти та охарактеризувати атаку», — Western Digital написав у заяві. «Наше розслідування показує, що в деяких випадках один і той самий зловмисник використовував обидві вразливості на пристрої, про що свідчить IP-адреса джерела. Перша вразливість була використана для встановлення шкідливого двійкового файлу на пристрій, а друга уразливість пізніше була використана для скидання пристрою».
Ці два подвиги досягали однієї мети, але різними засобами, ведучи до розслідування охоронної фірми Censys щоб припустити, що вони були роботою двох різних груп хакерів. Розслідування стверджує, що, можливо, початкова група зловмисників використовувала root-доступ уразливості, щоб зациклювати диски в ботнеті (мережа комп’ютерів, з якої хакери можуть отримувати ресурси від). Однак можлива друга група зловмисників з’явилася та скористалася вразливістю скидання пароля, щоб заблокувати вихідних зловмисників.
Два експлойти застосовуються до пристроїв зберігання даних My Book Live і My Book Live Duo. Ці накопичувачі дають користувачам кілька терабайт мережевого сховища, тому ці атаки взагалі могли відбутися. Western Digital стверджує, що кожен, хто має My Book Live або My Book Live Duo, повинен негайно від’єднати накопичувач від Інтернету, навіть якщо він не зазнав атаки.
Western Digital, виробник комп’ютерних жорстких дисків і компанія зі зберігання даних, пропонує постраждалим клієнтам послуги відновлення даних, які почнуть діяти в липні. Представник Western Digital повідомив Ars Technica, що послуги будуть безкоштовними. Він також пропонує клієнтам програму обміну для оновлення до новішого пристрою My Cloud, хоча Western Digital не повідомляє, коли програма буде запущена.
Рекомендації редакції
- Власники WD My Book Live повинні діяти зараз, щоб захистити свої дані
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
