Bezpečnost | Externí disk | Western Digital

Za smazání dat z disků WD My Book Live mohou bezpečnostní díry způsobené lajdáctvím vývojářů

  • Za smazání dat z disků WD My Book Live mohou bezpečnostní díry
  • Přinejmenším jedna z nich je chybou vývojářů firmwaru
  • Výrobce postiženým obnoví data a nabídne přechod na novější řešení

Minulý týden jsme informovali, jak se některým majitelů síťových disků WD My Book Live a Live Duo ztratily veškeré soubory. Původně nebyla zřejmá příčina, ale záhy se objevila informace o neopravené bezpečnostní díře CVE-2018-18472. Byla objevena již v roce 2018! Bohužel postiženým zařízením skončila podpora v roce 2015, takže záplatu neobdržela.

Nyní WD zveřejnila další informace. Podle nich firma postiženým od začátku července bezplatně poskytne službu obnovy dat. Majitelé zařízení My Book Live budou mít také nárok na program výměny, v jehož rámci budou moci přejít na zařízení My Cloud.

Bezpečnostní díry v síťových discích

Firma také publikovala informace o druhé bezpečnostní díře CVE-2021-35941. Spočívá v neověřeném obnovení továrního nastavení a byla do My Book Live zavlečena v dubnu 2011 v rámci změny logiky ověřování ve firmwaru zařízení.

Provedená změna soustředila ověřování do jediného souboru, který je v zařízení přítomen jako includes/component_config.php. Soubor obsahuje typ ověřování vyžadovaný každým koncovým bodem. Během změny byla logika ověřování správně zakázána, ale do souboru component_config.php nebyl přidán příslušný typ ověřování, což vedlo ke zranitelnosti.

Server Bleeping Computer uvádí, že ve skriptu system_factory_restore ve firmwaru My Book Live byly kontroly ověření zakomentovány vývojáři, což umožnilo provést obnovení továrního nastavení komukoli, kdo měl k zařízení přístup.

Dvě zranitelnosti a data jsou fuč!

„Abychom útok pochopili a charakterizovali, prověřili jsme soubory s protokoly, které jsme obdrželi od postižených zákazníků. Protokoly ukazují, že se útočníci k postiženým zařízením My Book Live připojili přímo z různých IP adres v různých zemích. Z našeho šetření vyplývá, že v některých případech zneužil stejný útočník obě zranitelnosti. První zranitelnost byla využita k instalaci škodlivé binární aplikace a druhá byla později zneužita k obnovení zařízení do továrního nastavení.“ uvádí Western Digital v oficiálním prohlášení.

Původní spekulace hovořily o možném zneužití vzdáleného přístupu přes servery WD, odkud měl být následně odeslán příkaz do všech zařízení připojených ke službě. Uživatelé, kteří analyzovali protokoly, zjistili, že 24. června byl na jejich zařízení spuštěn skript factoryRestore.sh.

Vyšetřování však tuto verzi vyvrátilo a došlo k závěru, že k útoku stačilo znát IP adresu síťového disku. Teoreticky tak potenciální útočníci mohli provést hromadné spuštění obnovení továrního nastavení na všech zařízeních tohoto typu po celém světě.

Diskuze (37) Další článek: Podívejte se, jak vypadá nový Průzkumník ve Windows 11 Insider

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,