Как сообщалось ранее, владельцы сетевых хранилищ информации WD My Book Live столкнулись с крайне неприятной ситуацией – с их устройств пропали практически все данные. Тогда компания WD сообщила, что потеря данных является результатом работы «вредоносного программного обеспечения». А теперь этот инцидент начал обрастать подробностями.
По данным ресурса Ars Technica, похоже, что на прошлой неделе могло быть использовано несколько эксплойтов для массового удаления данных с сетевых хранилищ WD My Book Live. Изначально предполагалось, что атака осуществлялась с использованием известного эксплойта 2018 года, который позволял получить root-доступ к устройству. Однако похоже, что этим дело не ограничилось.
Второй эксплойт, о котором сообщает Ars Technica, не даёт злоумышленнику полного контроля над устройством. Но он позволяет удалённо стереть данные с устройства, даже не зная пароля. Причём, WD знала об этой уязвимости и даже пыталась устранить её, но в конечном итоге так и не сделала этого. Как оказалось, в программном обеспечении WD My Book Live был код, который мог бы предотвратить такое удаление данных. Однако код был закомментирован (или деактивирован) компанией WD, так как он приводил к возникновению других проблем – из-за него программное обеспечение не запускало аутентификацию при запросе сброса настроек до заводских.
WD прекратила поддержку устройств My Book Live в 2015 году. Таким образом, эксплойт существовал в этих хранилищах с тех пор и никак не использовался. Остаётся открытым вопрос, почему хакеры решили воспользоваться им сейчас и сбросить устройства к заводским настройкам. На основании данных анализа компании Censys, ресурс Ars Technica высказывает предположение, почему это могло произойти. Предполагается, что владельцы WD My Book Live могли стать жертвами хакерских разборок – один владелец ботнета потенциально пытался захватить или нарушить работу другого. Один хакер (или группа хакеров) использовал известный эксплойт для управления устройствами с нечестивыми целями. Затем другой хакер (или группа) использовал неизвестный эксплойт удалённого стирания данных, чтобы очистить эти устройства. Очевидно, это лишило бы первого хакера доступа к оборудованию, но данные пользователей попали под перекрёстный огонь и были удалены. Эта теория выглядит логично, так как злоумышленникам, которые уже используют первый эксплойт и имеют root-доступ к устройствам, нет смысла сбрасывать их к заводским настройкам и терять контроль над хранилищами.
Со своей стороны, WD подтвердила, что оба эксплойта использовались, по крайней мере, в некоторых случаях. Компания заявила, что «непонятно, почему злоумышленники воспользовались обеими уязвимостями», но отметила, что обновит свои рекомендации по безопасности в отношении второго эксплойта.
А пока что владельцам WD My Book Live с непострадавшими данными рекомендуется отключить устройства от интернета.
Источник: The Verge