Western Digital dringt er bij oude eigenaren van My Book op aan om hun apparaten onverwijld los te koppelen van het internet na een reeks aanvallen op afstand.
In een advies dat op 24 juni werd gepubliceerd, zei de hardwareleverancier dat My Book Live en My Book Live Duo Network-Attached Storage (NAS)-apparaten worden op afstand gewist via fabrieksresets, waardoor gebruikers het risico lopen al hun opgeslagen gegevens te verliezen.
“Western Digital heeft vastgesteld dat sommige My Book Live- en My Book Live Duo-apparaten worden gecompromitteerd door misbruik van een kwetsbaarheid voor het uitvoeren van opdrachten op afstand”, aldus het bedrijf. “In sommige gevallen hebben de aanvallers een fabrieksreset geactiveerd die alle gegevens op het apparaat lijkt te wissen.”
Het lijkt erop dat de kwetsbaarheid die wordt misbruikt CVE-2018-18472 is, een root remote command execution (RCE)-bug die een CVSS-ernstclassificatie van 9,8 heeft gekregen.
Met aanvallers die op afstand als root kunnen opereren, kunnen ze resets activeren en alle inhoud wissen op deze draagbare opslagapparaten, die hun debuut maakten in 2010 en hun laatste firmware-update ontvingen in 2015. Wanneer producten aan het einde van hun levensduur zijn, hebben over het algemeen geen recht op nieuwe beveiligingsupdates.
Zoals voor het eerst gemeld door Bleeping Computer, begonnen forumgebruikers op 24 juni vragen te stellen over het plotselinge verlies van hun gegevens via zowel het WD-forum als Reddit. Een forumgebruiker vond zichzelf “totaal genaaid” vanwege het verwijderen van hun informatie.
“Ik ben bereid afstand te doen van mijn spaargeld om mijn doctoraatsthesisgegevens, pasgeboren foto's van mijn kinderen en overleden familieleden, reisblogs die ik heb geschreven en nooit gepubliceerd en al mijn laatste 7 maanden contractwerk te krijgen”, merkte een andere gebruiker op. “Ik ben zo bang om zelfs maar na te denken over wat dit gaat doen voor mijn carrière, omdat ik al mijn projectgegevens en documentatie ben kwijtgeraakt..”
Op het moment van schrijven verhandelen forumgebruikers potentiële herstelmethoden en ideeën met wisselend succes.
“We bekijken logbestanden die we van getroffen klanten hebben ontvangen om de aanval en het toegangsmechanisme verder te karakteriseren”, zegt Western Digital.
Uit de logbestanden blijkt tot nu toe dat My Book Live-apparaten wereldwijd worden aangevallen via directe online verbindingen of port forwarding. WizCase heeft eerder proof-of-concept (PoC)-code voor de kwetsbaarheid gepubliceerd.
In sommige gevallen installeren de aanvallers ook een Trojaans paard, waarvan een voorbeeld is geüpload naar VirusTotal.
Er wordt aangenomen dat My Book Live-apparaten de enige producten zijn die betrokken zijn bij deze wijdverbreide aanval. WD-cloudservices, firmware-updatesystemen en klantinformatie zijn naar verluidt niet gecompromitteerd.
Western Digital dringt er bij klanten op aan om hun apparaten zo snel mogelijk van internet te halen.
“We begrijpen dat de gegevens van onze klanten erg belangrijk zijn”, zegt Western Digital. “We begrijpen nog niet waarom de aanvaller de fabrieksreset heeft geactiveerd, maar we hebben een voorbeeld van een getroffen apparaat verkregen en onderzoeken het verder.”
Het bedrijf onderzoekt ook mogelijke herstelmogelijkheden voor getroffen klanten.
ZDNet heeft contact opgenomen met Western Digital met aanvullende vragen en we zullen updaten wanneer we iets horen.
Eerdere en gerelateerde berichtgeving
AWS neemt versleutelde berichten-app Wickr over
Ondersteuningsmedewerker van Microsoft en enkele elementaire klantgegevens getroffen door SolarWinds-aanvallers
YouTube blokkeerde getuigenissen over vermiste Oeigoeren in China: Rapport< br>
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 