La investigación de MyBook revela que los atacantes fueron explotados …



Una falla previamente desconocida en los sistemas de almacenamiento conectados a la purple más antiguos de Western Digital permitió que los comandos no autenticados activaran un restablecimiento de fábrica, formateando los discos duros, dice la compañía después de su investigación preliminar.

Atacantes desconocidos atacaron ciertos sistemas de almacenamiento adjunto a la pink (NAS) fabricados por Western Electronic, explotando una falla conocida de 2018 y una vulnerabilidad de día cero para comprometer dispositivos accesibles de forma remota y eliminar datos, declaró la compañía en los resultados iniciales de su investigación publicados en 29 de junio.

La investigación descubrió que los atacantes tenían como objetivo dos vulnerabilidades en el firmware de los dispositivos My Guide Dwell y My Ebook Reside Duo, que se introdujeron en el mercado en 2010 y se actualizaron por última vez en 2015. La primera vulnerabilidad, reportada en 2018, permitió a los atacantes ejecutar comandos en un dispositivo con privilegios de root, mientras que una segunda vulnerabilidad les dio a los atacantes la capacidad de ejecutar una operación de restablecimiento de fábrica sin autenticación. En muchos casos, los atacantes instalaron malware en los dispositivos aprovechando la primera vulnerabilidad, antes de eliminar las unidades mediante la segunda vulnerabilidad.

El equipo de seguridad de Western Electronic analizó los archivos de registro proporcionados por los clientes para comprender el ataque y descubrió que los atacantes buscaban dispositivos vulnerables y luego los comprometían, afirmó la compañía. en su aviso.

«Los archivos de registro que revisamos muestran que los atacantes se conectaron directamente a los dispositivos My Reserve Stay afectados desde una variedad de direcciones IP en diferentes países», afirmó la compañía. «Nuestra investigación muestra que, en algunos casos, el mismo atacante aprovechó ambas vulnerabilidades en el dispositivo, como lo demuestra la IP de origen. La primera vulnerabilidad se aprovechó para instalar un binario malicioso en el dispositivo, y la segunda vulnerabilidad se aprovechó más tarde para restablecer la dispositivo.»

Los resultados de la investigación se producen cinco días después de que los usuarios de Western Digital My Ebook inundaron los foros de soporte con quejas de que sus datos se han eliminado por completo de sus sistemas NAS. Los ataques ocurridos el 23 y 24 de junio provocaron un restablecimiento de fábrica en muchos dispositivos. A diferencia de los ataques de ransomware que encriptan datos y exigen un pago por las claves, los ataques no parecen tener un motivo financiero.

La compañía advirtió que los sistemas NAS conectados directamente a Online o conectados a través del reenvío de puertos son vulnerables a la explotación.

«Nuestra investigación de este incidente no ha descubierto ninguna evidencia de que los servicios en la nube de Western Electronic, los servidores de actualización de firmware o las credenciales de los clientes estuvieran comprometidos», afirmó la compañía en su aviso. «Como los dispositivos My Ebook Live pueden estar expuestos directamente a World wide web a través del reenvío de puertos, los atacantes pueden descubrir dispositivos vulnerables a través del escaneo de puertos».

Las vulnerabilidades parecen afectar solo a los sistemas NAS My E-book Are living y My E-book Are living Duo, aunque el informe de vulnerabilidades unique de 2018 (CVE-2018-18472) también menciona que algunos modelos de WD My Cloud NAS también pueden verse afectados.

«Si está utilizando uno de los dispositivos anteriores y están conectados a la WAN, asegúrese de quitar su dispositivo de World-wide-web». WizCase declaró en su aviso para la vulnerabilidad en 2018. «Asegúrese de que se estén ejecutando solo localmente en una crimson segura».

La vulnerabilidad no revelada anteriormente, CVE-2021-35941, afecta a My Ebook Live y My Reserve Live Duo y se describe como «una API de administrador que puede realizar una restauración de fábrica del sistema sin autenticación», según su inclusión en la foundation de datos nacional de vulnerabilidades.

Los atacantes lanzaron escaneos automatizados desde múltiples direcciones IP para activar las vulnerabilidades. En sistemas vulnerables y accesibles, los atacantes instalaron un troyano en los sistemas en forma de un binario de Linux compilado para la arquitectura PowerPC utilizada por los productos My E-book.

Esta no es la primera vez que los atacantes atacan los dispositivos NAS. En 2019, una banda de ransomware apuntó a los usuarios de los productos NAS de QNAP Methods utilizando el relleno de credenciales de fuerza bruta y vulnerabilidades conocidas para instalar el malware eCh0raix, que cifra los datos en las unidades.

Western Digital instó a los usuarios a desconectar los sistemas de almacenamiento vulnerables de Online. La empresa tiene previsto ofrecer recuperar los datos de los clientes afectados.

«Para los clientes que han perdido datos como resultado de estos ataques, Western Electronic proporcionará servicios de recuperación de datos», dijo la compañía. «A los usuarios de My Ebook Reside también se les ofrecerá un programa de intercambio para actualizar a un dispositivo My Cloud appropriate. Ambos programas estarán disponibles a partir de julio, y los detalles sobre cómo aprovechar estos programas estarán disponibles en un anuncio separado. . «

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Reading, MIT&#39s Engineering Overview, Well-liked Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first