westerndigitalangrep
Det er tvilsomt at WD My Book Live fikses ettersom de sist ble fastvareoppdatert i 2015.

Annonse


Slik formaterte de kundenes Western Digital-disker over nettet

Problemet med NAS-disker fra produsenter er at supporten opphører.

Dette er feilen som ble utnyttet

Og uten oppdateringer som sikrer disker som er koblet på nettet, er faren stor for at det er hull som kriminelle der ute kan misbruke, og ganske riktig: det viser seg at feilen merket som “CVE-2018-18472” er den som nå utnyttes, et hull som ble oppdaget i 2018.

Feilen oppsummeres slik:

“Western Digital WD My Book Live og WD My Book Live Duo (alle versjoner) har en “Root Remote Command Execution” feil i shell-metategnet funnet i “/api/1.0/rest/language_configuration” språk-parameteren. Den kan utløses av alle som kjenner IP-adressen til den berørte enheten.

National Vulnerability Database
Bilde: Censys

24. juni ble følgende kommando utført på enheter de kriminelle siktet seg inn på 24. juni og startet ved hjelp av “factoryRestore.sh”:

Jun 24 00:26:53 MyBookLive factoryRestore.sh: begin script:
Jun 24 00:26:53 MyBookLive shutdown[5033]: shutting down for system reboot
Jun 24 00:26:53 MyBookLive logger: exit standby after 9674 (since 2021-06-23 21:45:39.926803414 +0100)

En oppdatering kommer trolig aldri

Det ufattelige er at scripts som “system_factory_restore” selvsagt vanligvis krever administrator-rettigheter, og det som nesten ikke er til å tro er at fastvaren til diskene så var autentisering-sjekkene deaktivert. Dette er bekreftet av Arstechnica.

Motivet er foreløpig ikke kjent, men spekulasjoner går på at diskene brukes av hackerne i stor bot-net etter at de har tatt kontroll over dem. Har du en slik disk, koble den fra nettet med en gang.

Annonse