Lectura oscura | Seguridad | Proteja el negocio



Las empresas y las personas que utilizan modelos más antiguos de unidades de almacenamiento conectado a la pink (NAS) de Western Electronic sufrieron lo que parece ser un ataque que posiblemente aprovechó una vulnerabilidad de 2018 para restablecer las unidades a los valores predeterminados de fábrica y eliminar datos, según los comentarios de los clientes y las declaraciones de la empresa.

Western Digital ha confirmado que muchos clientes que poseen sus dispositivos de almacenamiento WD My Guide Stay y My E-book Stay Duo han sufrido compromisos debido a una vulnerabilidad de ejecución remota de código. A partir de los archivos de registro publicados en el foro de soporte de la empresa, el ataque pareció ocurrir el 23 y 24 de junio, cuando las unidades se restablecieron a los valores predeterminados de fábrica.

Después del presunto ataque, las unidades se dejan en un estado predeterminado, pero la contraseña predeterminada no parece funcionar, según un usuario que united states of america el apodo «sunpeak». que inició un hilo de apoyo el 24 de junio que ahora tiene más de 650 comentarios.

«Tengo un WD mybook live (sic) conectado a la LAN de mi hogar y funcionó bien durante años», afirmó el usuario. «Acabo de descubrir que de alguna manera todos los datos se han ido hoy, mientras que los directorios parecen estar allí pero vacíos. Anteriormente, el volumen 2T estaba casi lleno, pero ahora muestra su capacidad overall».

Muchas de las respuestas fueron de otros usuarios que confirmaron que sus unidades también se habían eliminado.

Western Digital declaró que la compañía está investigando actualmente, pero tiene pocos detalles al 28 de junio. El restablecimiento de fábrica «parece borrar todos los datos del dispositivo» y la compañía recomendó que los usuarios desconectaran sus dispositivos My Guide Stay de Online.

«Estamos revisando los archivos de registro que hemos recibido de los clientes afectados para caracterizar aún más el ataque y el mecanismo de acceso», dijo la empresa. declaró en su aviso. «Los archivos de registro que hemos revisado muestran que los atacantes se conectaron directamente a los dispositivos My Reserve Live afectados desde una variedad de direcciones IP en diferentes países».

Los ataques dirigidos a los discos duros para eliminar datos no son nada nuevo. En 2012, un ataque cibernético resultó en la eliminación de datos en casi 35,000 discos duros en la empresa estatal de petróleo y gasoline de Arabia Saudita, Saudi Aramco. Se cree que es el trabajo de un grupo iraní que se hace llamar la espada cortante de la justicia, la herramienta de eliminación de datos, conocida como limpiador, a menudo hacía que los discos duros fueran irrecuperables.

Estos ataques continúan. El mes pasado, un grupo sofisticado llamado Agrius, que también se cree que está vinculado a Irán, implementó ransomware y limpiaparabrisas. contra Israel.

La compañía introdujo las unidades en el mercado en 2010 y emitió la última actualización de firmware para los dispositivos en 2015. En 2018, un análisis de cuatro unidades NAS diferentes, incluida la Western Digital My Reserve Stay, descubrió vulnerabilidades en todas y cada una de ellas. Explotando la vulnerabilidad (CVE-2018-18472) consistía en enviar una straightforward URL que agregaba un archivo a la raíz web del dispositivo, planteando la posibilidad de que esta vulnerabilidad sea la que esté siendo explotada por los atacantes.

En una declaración proporcionada a los investigadores en el momento, Western Electronic parece haber afirmado que los productos habían llegado al remaining de su ciclo de vida de soporte y no se actualizarían.

«Estos productos han sido descontinuados desde 2014 y ya no están cubiertos por el ciclo de vida de soporte de software program de nuestro dispositivo», declaró la compañía, según el informe de vulnerabilidad. «Alentamos a los usuarios que deseen continuar operando estos productos heredados a configurar su firewall para evitar el acceso remoto a estos dispositivos y tomar medidas para garantizar que solo los dispositivos confiables en la red nearby tengan acceso al dispositivo».

Actualmente, no está claro si todos los usuarios afectados tenían el dispositivo conectado directamente a World wide web o configurado de manera que fuera accesible desde Net. Sin embargo, Western Digital parece creer que ese es el caso.

Dado que el atacante se conectó desde una variedad de direcciones de Net, «esto indica que los dispositivos afectados eran directamente accesibles desde World wide web, ya sea a través de una conexión directa o mediante el reenvío de puertos que se habilitó de forma handbook o automática a través de UPnP», dijo la compañía.

Además, la empresa no ha encontrado evidencia de ningún otro mecanismo que pudiera ser la causa del borrado de datos.

«Nuestra investigación de este incidente no ha descubierto ninguna evidencia de que los servicios en la nube de Western Electronic, los servidores de actualización de firmware o las credenciales de los clientes estuvieran comprometidos», dijo la compañía en su comunicado. «Como los dispositivos My E-book Stay pueden estar expuestos directamente a World wide web a través del reenvío de puertos, los atacantes pueden descubrir dispositivos vulnerables a través del escaneo de puertos».

Hasta ahora, la pérdida de datos parece deberse a la eliminación de la tabla de particiones, lo que aumenta la posibilidad de que se recuperen los archivos perdidos. Algunas herramientas de recuperación de fotos y otras utilidades del sistema ya han tenido suerte en la recuperación de los archivos, según los usuarios que publican en el foro de soporte.



Enlace a la noticia unique