[ON] Инцидент с потерей данных на сетевых накопителях WD My Book Live и My Book Live Duo (дополнено)

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Аватара пользователя
rssbot
Бот
Сообщения: 6004
ОС: gnu/linux

[ON] Инцидент с потерей данных на сетевых накопителях WD My Book Live и My Book Live Duo (дополнено)

Сообщение rssbot »

Компания Western Digital рекомендовала пользователям срочно отключить устройства хранения WD My Book Live и My Book Live Duo от интернета в связи появлением массовых жалоб об удалении всего содержимого накопителей. На данный момент известно лишь то, что в результате деятельности неизвестного вредоносного ПО производится удалённое инициирование сброса устройств в исходное состояние с очисткой всего сохранённого на накопителе содержимого.


Устройства WD My Book Live и My Book Live Duo поддерживает подключение к Ethernet и работу в форме сетевого хранилища с возможностью удалённого доступа к своим файлам и изменению конфигурации через облачный сервис Western Digital. Компания Western Digital заявила, что на данный момент не выявлено фактов, указывающих на то, что атака совершается через компрометацию облачного сервиса компании, а не конечных устройств пользователей.



Предполагалось, что атака могла быть совершена через получение контроля над отдельными учётными записями пользователей в облачном сервисе, но судя по отчётам пострадавших, у некоторых из них была отключена функция управления через облачный сервис. Основная версия произошедшего отталкивается от того, что атака на WD My Book Live и My Book Live Duo производится при помощи не исправленной с 2018 года уязвимости (CVE-2018-18472) в прошивке, допускающей удалённое выполнение кода с правами root. Поддержка хранилищ WD My Book Live и My Book Live Duo была прекращена в 2015 году и с тех пор обновлений прошивок не выпускалось.


Дополнение 1: Для атаки на устройства была задействована новая, ранее не известная, уязвимость CVE-2021-35941 в прошивке WD My Book Live, позволяющая удалённо выполнить сброс к заводским настройкам без знания пароля доступа. Примечательно, что изначально уязвимый php-скрипт "system_factory_restore.php" включал код для аутентификации, но в апреле 2011 года проверка была закомментирована в связи с переносом логики аутентификации в другой файл.
Уязвимость возникла из-за того, что в файл "component_config.php" забыли добавить новый тип ауетенификации ADMIN_AUTH_LAN_ALL и доступ к "system_factory_restore.php" оказался незащищён. Помимо очистки данных для в ходе атаки также практиковалось внедрение вредоносного кода ".nttpd,1-ppc-be-t1-z", устанавливаемого через экплуатацию root-уязвимости CVE-2018-18472.



Дополнение 2: Компания Western Digital пообещала опубликовать в начале июля бесплатный инструмент для восстановления очищенных данных, а также предоставить возможность обмена устройств My Book Live на My Cloud.



Источник: https://www.opennet.ru/opennews/art.shtml?num=55390
(opennet.ru, мини-новости)
Последний раз редактировалось rssbot 30.06.2021 16:22, всего редактировалось 3 раза.
Причина: Updated upstream
Спасибо сказали: