Vulnerabilitate de tip Zero-Day a dispozitivelor WD Storage

Western Digital (WD) a confirmat că o serie de atacuri recente au vizat unele dintre dispozitivele sale network-attached storage (NAS), mai vechi, și a implicat exploatarea unei vulnerabilități de tip zero-day.

Atacurile au ieșit la iveală recent, când mulți proprietari de dispozitive My Book Live și My Book Live Duo au raportat pe forumul WD Community că a fost inițiată o resetare din fabrică pe dispozitivele lor, ceea ce a dus la ștergerea tuturor fișierelor.

WD a spus inițial că atacatorii au exploatat CVE-2018-18472, o vulnerabilitate mai vechie care permite unui atacator care cunoaște adresa IP a dispozitivului țintă să execute comenzi cu privilegii de root. Cu toate acestea, după analize suplimentare, furnizorul a confirmat că a fost exploatată și o vulnerabilitate de tip zero-day.

Cunoscută ca CVE-2021-35941, noua vulnerabilitate a fost exploatată pentru a reseta dispozitivele la setările din fabrică.

CVE-2018-18472 a fost exploatată pentru a instala malware pe dispozitive NAS vulnerabile și CVE-2021-35941 pentru resetare la setările din fabrică. În unele cazuri ambele vulnerabilități au fost exploatate aparent de același atacator.

Censys, o companie care oferă vizibilitate pe internet și produse de evaluare a riscurilor, a analizat atacurile precizând faptul  că CVE-2018-18472 este exploatat pentru a livra un script care instalează și execută malware, determinând aderarea dispozitivului compromise la un botnet. Compania a găsit dovezi care sugerează că mai mulți atacatori încearcă să preia controlul dispozitivelor WD. Majoritatea dispozitivelor NAS atacate sunt situate în Statele Unite, Marea Britanie și Canada.

Fabricarea produselor My Book Live și My Book Live Duo a fost întreruptă, ultimele actualizări de firmware fiind lansate în anul 2015.

WD spune că intenționează să furnizeze servicii de recuperare a datelor clienților afectați de acest atac, serviciul ar trebui să devină disponibil în luna iulie. Compania va oferi, de asemenea, un program de schimb pentru a ajuta clienții să facă upgrade la dispozitive mai noi care nu sunt vulnerabile la aceste atacuri.

Surse:

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică