Hackers gebruikten zeroday, niet bug uit 2018 om My Book-schijven te wissen

2 reacties

Er is meer informatie gedeeld over de malware die de My Book Live van Western Digital raakt. WD heeft een update gepubliceerd en Ars Technica heeft onderzoek gedaan naar de oorzaak van de kwetsbaarheid. De opslagfabrikant biedt gratis datahersteldiensten aan voor gebruikers van wie de schijven zijn gewist, en klanten met de My Book komen in aanmerking voor een inwisselprogramma om naar My Cloud-apparaten te upgraden.


De Western Digital My Book Live

Het bedrijf heeft ook nieuwe technische details vrijgegeven over de zeroday-kwetsbaarheid CVE-2021-35941. Deze is in April 2011 als onderdeel van een nieuw programma toegevoegd aan de firmware. Hierbij is alle authenticatie in een bestand verzameld, waarbij ten ontrecht een onderdeel uitgeschakeld was zonder dat dit in het nieuwe programma opgenomen was. Log-files van geraakte gebruikers laten zien dat de aanvallers direct verbonden met de schijven vanuit verschillende landen. Sommigen hebben beide beveiligingsgaten geëxploiteerd, de eerste om een kwaadaardige binary te installeren en de tweede om het device te resetten.

De tweede bug is CVE-2018-18472, deze maakt het mogelijk om een factory reset uit te voeren zonder een wachtwoord in te voeren. De hiervoor benodigde code is wel aanwezig, maar als commentaar waardoor deze niet uitgevoerd wordt. Deze exploit is ontdekt in 2018 maar omdat de ondersteuning toen al drie jaar stopgezet was is deze niet verholpen. Waarschijnlijk zijn deze kwetsbaarheden door verschillende hackers benut, aangezien met de eerste al volledige roottoegang te verkrijgen.


De WD My Cloud.

Het advies van Western Digital is nog steeds om alle My Books volledig los te koppelen van het internet. Nieuwe schijven, zoals My Cloud, hebben grotendeels vernieuwde firmware en zouden dus geen last moeten hebben van beide beveiliginsgaten.

Bronnen: Ars Technica, Western Digital

« Vorig bericht Volgend bericht »
0
*