Western Digital uppmanar äldre My Book-ägare att koppla ur sina enheter från internet utan dröjsmål efter en rad fjärranslag.
I en rådgivning som publicerades 24 juni sa hårdvaruförsäljaren att My Book Live och My Book Live Duo-nätverksanslutna lagringsenheter (NAS) torkas på distans genom fabriksåterställningar, vilket gör att användarna riskerar att förlora all lagrad data.
“Western Digital har bestämt att vissa My Book Live och My Book Live Duo-enheter äventyras genom utnyttjande av en sårbarhet för fjärrkommandokörning”, säger företaget. “I vissa fall har angriparna utlöst en fabriksåterställning som verkar radera all data på enheten.”
Det verkar som att den sårbarhet som utnyttjas är CVE-2018-18472, ett RCE-fel (root remote command executing) som har fått en CVSS-allvarlighetsgrad på 9,8.
Med angripare som kan fjärrmanövreras som root kan de utlösa återställningar och torka allt innehåll på dessa bärbara lagringsenheter, som fick sin debut 2010 och fick sin slutliga firmwareuppdatering 2015. När produkterna blir slut, levererar de har i allmänhet inte rätt till nya säkerhetsuppdateringar.
Som först rapporterades av Bleeping Computer började forumanvändare att fråga den plötsliga förlusten av sina data den 24 juni via både WD-forumet och Reddit. En forumanvändare ansåg sig vara “helt skruvad” på grund av att informationen raderades.
“Jag är villig att dela med mig av mina livsbesparingar för att få min doktorsavhandling, nyfödda bilder av mina barn och döda släktingar, resebloggar jag skrev och aldrig publicerat och alla mina sista 7 månader av kontraktsarbete”, kommenterade en annan användare. “Jag är så rädd att ens tänka på vad det här kommer att göra för min karriär efter att ha förlorat all min projektdata och dokumentation ..”
Vid skrivandet handlar forumanvändare om potentiella återställningsmetoder och idéer med varierande grad av framgång.
“Vi granskar loggfiler som vi har fått från berörda kunder för att ytterligare karakterisera attacken och mekanismen för åtkomst”, säger Western Digital.
Hittills visar loggfilerna att My Book Live-enheter slås över hela världen genom direktanslutningar online eller vidarebefordran av port. WizCase har tidigare publicerat PoC-kod (proof-of-concept) för sårbarheten.
I vissa fall installerar angriparna också en trojan, av vilken ett exempel har överförts till VirusTotal.
My Book Live-enheter anses vara de enda produkterna som är involverade i denna omfattande attack. WD-molntjänster, system för uppdatering av firmware och kundinformation tros inte ha äventyrats.
Western Digital uppmanar kunder att dra sina enheter från internet så snabbt som möjligt.
“Vi förstår att våra kunders data är mycket viktiga”, säger Western Digital. “Vi förstår ännu inte varför angriparen utlöste fabriksåterställningen. Vi har dock fått ett prov på en berörd enhet och undersöker vidare.”
Företaget undersöker också potentiella återställningsalternativ för drabbade kunder.
ZDNet har nått Western Digital med ytterligare frågor och vi kommer att uppdatera när vi hör tillbaka.
Tidigare och relaterad täckning
AWS förvärvar krypterad meddelandeapp Wickr
Microsofts supportagent och några grundläggande kunddetaljer som träffats av SolarWinds-angripare
YouTube blockerade vittnesmål om saknade uigurer i Kina: Rapportera < br>
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 