Niedawno informowaliśmy o problemach, jakie mogły spotkać posiadaczy dysków WD My Book Live. Problemy te mogły w skrajnych przypadkach prowadzić do utraty danych. Firma Western Digital przeprowadziła analizę problemu oraz zapowiedziała program wsparcia dla użytkowników.
Poniżej prezentujemy tłumaczenie pełnego stanowiska firmy WD we wspomnianej sprawie:
Western Digital stwierdziła, że dyski My Book Live oraz My Book Live Duo padły ofiarą ataku wykorzystującego kilka podatności. W niektórych przypadkach, atakujący mogli uruchomić fabryczny reset, skutkujący skasowaniem wszystkich danych na dysku.
Odzyskiwanie danych i program wymiany dysków
Aby pomóc użytkownikom, którzy stracili dane w rezultacie ataków, Western Digital dostarczy usługi odzyskiwania danych. Program ma wystartować lipcu. Posiadacze My Book Live otrzymają także propozycję wymiany posiadanego sprzętu na wspierane dyski z linii My Cloud.
Analiza podatności CVE-2021-35941
Firmware dysków My Book Live jest podatny na atak uruchamiany zdalnie z linii komend, który skutkuje uzyskaniem zdalnego dostępu. Taka podatność może zostać wykorzystana do wykonywania komend konta z prawami administratora. Ponad to, My Book Live jest podatny na niepoświadczony fabryczny reset. W nomenklaturze WD podatność ta została opisana jako CVE-2021-35941.
Firma WD określiła, że podatność na niepoświadczony fabryczny reset zaistniała w urządzeniach My Book Live w kwietniu 2011 roku, jako część odświeżenia logiki autentykacji w firmware urządzenia. Zmiany scentralizowały logikę autentykacji w jednym pliku, obecnym w urządzeniu jako includes/component_config.php. W trakcie refactoringu kodu, logika autentykacji została wyłączona w pliku system_factory_restore.php, ale odpowiedni typ autentykacji, oznaczony jako ADMIN_AUTH_LAN_ALL nie został dodany do pliku component_config.php, skutkując podatnością.
Analiza ataku
Firma WD przejrzała logi, które otrzymała od zaatakowanych klientów by lepiej zrozumieć i scharakteryzować atak. Pliki pokazują, że atakujący podłączyli się bezpośrednio do urządzeń My Book Live z różnych adresów IP w różnych krajach. Śledztwo przeprowadzone przez firmę pokazuje, że w niektórych przypadkach napastnik wykorzystał obie podatności (na zdalny dostęp i uruchomienie fabrycznego resetu). Pierwszą wykorzystano do instalacji na dysku złośliwego oprogramowania, drugą – by zresetować dysk.
Na niektórych urządzeniach napastnicy mogli zainstalować trojana o nazwie .nttpd,1-ppc-be-t1-z, który jest linuxowym plikiem binarnym ELF, skompilowanym dla architektury PowerPC, wykorzystywanej przez My Book Live i Live Duo. Próba trojana została pobrana do analizy i załadowana do VirusTotal. Jak pokazują wyniki, część oprogramowania antywirusowego nie wykrywa zagrożenia.
Śledztwo przeprowadzone w związku z atakami nie stwierdziło, by dotknęły one w jakimkolwiek stopniu usługi chmurowe WD, serwery odpowiedzialne za aktualizację firmware czy poświadczenia klientów. Z racji, że dyski My Book Live mogą być bezpośrednio dostępne z internetu przez forwarding portów, napastnicy mogli odkryć wrażliwe urządzenia przez skanowanie portów. Podatności wykorzystane w atakach dotyczą jedynie serii My Book Live, która pojawiła się na rynku w 2021 i otrzymała ostatnią aktualizację firmware w 2015. Podatności nie dotyczą aktualnie dostępnej rodziny produktów My Cloud.
Podsumowanie i rady końcowe
Natychmiast należy odłączyć urządzenia My Book Live i My Book Live Duo od internetu by uchronić je przed trwającymi atakami. Jak napisano na wstępie, dla klientów, którzy ucierpieli w wyniku ataków, firma WD przygotowała usługę odzyskiwania danych oraz program wymiany urządzeń. Oba programy będą dostępne w lipcu, a szczegóły zgłoszeń pojawią się w osobnym oświadczeniu.
Ten program wymiany to jedna wielka ściema. Niestety jestem posiadaczem owego dysku ;-( WD przed przesłaniem kodu rabatowego kazał odesłać sobie stare urządzenie… Tylko że ja już w tym „starym” urządzeniu wymieniałem dyski na własny koszt ;-( A teraz niby mam im odesłać urządzenie z 12TB firmowych danych … to jakiś żart !!! NIGDY WIĘCEJ WD