Det ser ut til at det kan ha vært mer enn én utnyttelse brukt til å forårsake massesletting av data fra WD My Book Live NASes forrige uke, ifølge en rapport fra Ars Technica. Da nyheten kom om at folk fant ut at dataene deres manglet, pekte noen (inkludert WD selv) på en kjent utnyttelse fra 2018, som tillot root-tilgang til enheten. Imidlertid ser det ut som om det skjer mer enn det man opprinnelig mistenkte.
Hvis du har en av disse enhetene, bør du koble den fra internett før du leser videre – det er klart på dette punktet at dataene dine er i fare hvis enheten er online.
Den andre utnyttelsen, rapportert av Ars Technica, gir ikke en angriper full kontroll over enheten som den andre utnytter. Det lar dem bare fjerne enheten uten å måtte vite passordet. Tragisk for de som mistet data, ser det ut til at koden som ville ha forhindret dette faktisk var til stede i programvaren til WD My Book Live, men den ser ut til å ha blitt kommentert (eller deaktivert) av WD på et eller annet tidspunkt – på grunn av denne endringen , kjørte ikke programvaren autentisering da de ble bedt om å tilbakestille fabrikken.
WD hadde sluttet å støtte disse enhetene i 2015. Mens utnyttelsen har eksistert siden i det minste, er det ikke nødvendigvis et scenario der et åpenbart sikkerhetsproblem vedvarte gjennom mange år med oppdateringer. Spørsmålet er fremdeles fortsatt om hvorfor hackere bestemte seg for å tilbakestille enhetene på fabrikk.
Ars Technica har en vill teori, basert på analyse fra sikkerhetsfirmaet Censys: data sletting skjedde som et resultat av en kamp mellom hackere, med en botnet-eier som potensielt prøver å overta eller forstyrre andres. En hacker (eller en gruppe hackere) brukte den kjente utnyttingen til å kontrollere enhetene for noen uhyggelige formål. Deretter brukte en annen enhet den ukjente eksterne wipe-utnyttingen for å slette disse enhetene. Det ville sannsynligvis ha fjernet den første enhetens tilgang til maskinvaren – men brukernes data ble fanget i kryssilden.
Teorien gir mening, med tanke på den konkurrerende karakteren av utnyttelsene som brukes . (Hvorfor skulle en hacker brenne en tidligere urapportert utnyttelse for å tilbakestille maskinene etter at de allerede hadde root-tilgang?) For sin del fortalte WD Ars at de kunne bekrefte at begge utnyttelsene ble brukt, i det minste i noen tilfeller. Selskapet sa at det var “ikke klart hvorfor angriperne utnyttet begge sårbarhetene,” men bemerket at det ville oppdatere sikkerhetsrådgivningen om den andre utnyttelsen.
Randen mottok ikke umiddelbart en svar da den nådde ut til WD for kommentar om funnene.