Western Digital opfordrer arvede My Book-ejere til at frakoble deres enheder fra internettet uden forsinkelse efter en række fjernangreb.
I en rådgivning, der blev offentliggjort 24. juni, sagde hardwareleverandøren, at My Book Live og My Book Live Duo-netværkstilsluttede lagringsenheder (NAS) fjernes via fabriksnulstillinger, hvilket efterlader brugerne i fare for at miste alle deres lagrede data.
“Western Digital har fastslået, at nogle My Book Live- og My Book Live Duo-enheder kompromitteres gennem udnyttelse af en sårbarhed i forbindelse med eksekvering af fjernkommando,” sagde virksomheden. “I nogle tilfælde har angriberne udløst en fabriksnulstilling, der ser ud til at slette alle data på enheden.”
Det ser ud til, at sårbarheden, der udnyttes, er CVE-2018-18472, en RCE-fejl (root remote command executing), der har opnået en CVSS-sværhedsgrad på 9,8.
Med angribere, der er i stand til at fungere eksternt som root, kan de udløse nulstillinger og slette alt indholdet på disse bærbare lagerenheder, som fik deres debut i 2010 og modtog deres endelige firmwareopdatering i 2015. Når produkterne bliver udtjente, bliver de har generelt ikke ret til nye sikkerhedsopdateringer.
Som første gang rapporteret af Bleeping Computer begyndte forumbrugere at spørge det pludselige tab af deres data den 24. juni via både WD-forummet og Reddit. En forumbruger betragtede sig selv som “fuldstændig skruet” på grund af sletningen af deres oplysninger.
“Jeg er villig til at dele med mine livsbesparelser for at få mine doktorgradsopgaver, nyfødte billeder af mine børn og døde slægtninge, rejseblogs, som jeg skrev og aldrig har offentliggjort, og alle mine sidste 7 måneders kontraktarbejde,” kommenterede en anden bruger. “Jeg er så bange for overhovedet at tænke over, hvad dette vil gøre for min karriere, da jeg har mistet alle mine projektdata og dokumentation ..”
I skrivende stund handler forumbrugere med potentielle gendannelsesmetoder og ideer med varierende grad af succes.
“Vi gennemgår logfiler, som vi har modtaget fra berørte kunder for yderligere at karakterisere angrebet og mekanismen for adgang,” siger Western Digital.
Logfilerne viser hidtil, at My Book Live-enheder rammes over hele verden gennem direkte onlineforbindelser eller portvideresendelse. WizCase har tidligere offentliggjort proof-of-concept (PoC) kode for sårbarheden.
I nogle tilfælde installerer angriberne også en trojan, hvoraf en prøve er uploadet til VirusTotal.
My Book Live-enheder menes at være de eneste produkter, der er involveret i dette udbredte angreb. WD-cloudtjenester, firmwareopdateringssystemer og kundeoplysninger menes ikke at være kompromitteret.
Western Digital opfordrer kunder til at trække deres enheder fra internettet så hurtigt som muligt.
“Vi forstår, at vores kunders data er meget vigtige,” siger Western Digital. “Vi forstår endnu ikke, hvorfor angriberen udløste fabriksindstillingen. Vi har dog fået en prøve af en berørt enhed og undersøger yderligere.”
Virksomheden undersøger også mulige opsvingsmuligheder for påvirkede kunder.
ZDNet har nået ud til Western Digital med yderligere forespørgsler, og vi opdaterer, når vi hører tilbage.
Tidligere og relateret dækning
AWS erhverver krypteret messaging-app Wickr
Microsoft supportagent og nogle grundlæggende kundeoplysninger, der er ramt af SolarWinds-angribere. YouTube blokerede vidnesbyrd om manglende uigurer i Kina: Rapport < br>
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499 eller over på Keybase: charlie0
Relaterede emner:
Sikkerhed TV-datastyring CXO-datacentre 