Western Digital sta esortando i proprietari di My Book legacy a scollegare i propri dispositivi da Internet senza indugio a seguito di una serie di attacchi remoti.
In un avviso pubblicato il 24 giugno, il fornitore di hardware ha affermato che My Book Live e My Book Live I dispositivi NAS (Network Attached Storage) Duo vengono cancellati in remoto tramite il ripristino dei dati di fabbrica, esponendo gli utenti al rischio di perdere tutti i dati archiviati.
“Western Digital ha stabilito che alcuni dispositivi My Book Live e My Book Live Duo vengono compromessi dallo sfruttamento di una vulnerabilità di esecuzione di comandi remoti”, ha affermato la società. “In alcuni casi, gli aggressori hanno attivato un ripristino delle impostazioni di fabbrica che sembra cancellare tutti i dati sul dispositivo”.
Sembra che la vulnerabilità sfruttata sia CVE-2018-18472, un bug RCE (root remote command execution) che ha ottenuto un livello di gravità CVSS di 9.8.
Con gli aggressori in grado di operare in remoto come root, possono attivare i ripristini e cancellare tutto il contenuto su questi dispositivi di archiviazione portatili, che hanno fatto il loro debutto nel 2010 e hanno ricevuto l'ultimo aggiornamento del firmware nel 2015. Quando i prodotti diventano fuori uso, generalmente non hanno diritto a nuovi aggiornamenti di sicurezza.
Come riportato per la prima volta da Bleeping Computer, gli utenti del forum hanno iniziato a interrogare l'improvvisa perdita dei loro dati il 24 giugno tramite il forum WD e Reddit. Un utente del forum si è ritenuto “totalmente fregato” a causa della cancellazione delle proprie informazioni.
“Sono disposto a separarmi dai miei risparmi di una vita per ottenere i dati della mia tesi di dottorato, le foto appena nate dei miei figli e dei parenti morti, i blog di viaggio che ho scritto e mai pubblicato e tutti i miei ultimi 7 mesi di lavoro a contratto”, ha commentato un altro utente. “Ho così paura anche solo di pensare a cosa questo farà per la mia carriera avendo perso tutti i dati e la documentazione del mio progetto..”
Al momento della stesura, gli utenti del forum stanno scambiando potenziali metodi di recupero e idee con diversi gradi di successo.
“Stiamo esaminando i file di registro che abbiamo ricevuto dai clienti interessati per caratterizzare ulteriormente l'attacco e il meccanismo di accesso”, afferma Western Digital.
I file di registro, finora, mostrano che i dispositivi My Book Live vengono colpiti in tutto il mondo tramite connessioni online dirette o port forwarding. WizCase ha pubblicato in precedenza il codice PoC (Proof of Concept) per la vulnerabilità.
In alcuni casi, gli aggressori installano anche un Trojan, di cui un campione è stato caricato su VirusTotal.
Si pensa che i dispositivi My Book Live siano gli unici prodotti coinvolti in questo attacco diffuso. Non si ritiene che i servizi cloud WD, i sistemi di aggiornamento del firmware e le informazioni sui clienti siano stati compromessi.
Western Digital invita i clienti a ritirare i propri dispositivi da Internet il più rapidamente possibile.
“Siamo consapevoli che i dati dei nostri clienti sono molto importanti”, afferma Western Digital. “Non capiamo ancora perché l'attaccante abbia attivato il ripristino dei dati di fabbrica; tuttavia, abbiamo ottenuto un campione di un dispositivo interessato e stiamo indagando ulteriormente”.
La società sta inoltre esaminando potenziali opzioni di ripristino per i clienti interessati.
ZDNet ha contattato Western Digital con ulteriori domande e aggiorneremo quando avremo notizie.
Copertura precedente e correlata
AWS acquisisce l'app di messaggistica crittografata Wickr
Agente di supporto Microsoft e alcuni dettagli di base sui clienti colpiti dagli aggressori di SolarWinds
YouTube ha bloccato le testimonianze sugli uiguri scomparsi in Cina: rapporto< br>
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 