5 líneas de código permitieron a los atacantes borrar toneladas de datos del popular disco duro

Western Digital My Book Live fue la semana pasada lo que provocó que innumerables unidades se restablecieran de fábrica, lo que resultó en petabytes de datos perdidos. Originalmente, los informes mostraban que el ataque principal aprovechó una vulnerabilidad de seguridad de 2018 y, aunque ese sigue siendo uno de los vectores de ataque, había otro en juego. Y todo se redujo a solo cinco líneas de código.

Uninvestigación de Ars Technicareveló que un segundo exploit estaba funcionando en al menos algunas de las unidades afectadas. Este segundo exploit permitió a los atacantes restablecer de fábrica las unidades de forma remota sin una contraseña. Curiosamente, la investigación reveló que cinco líneas de código habrían protegido el comando de reinicio con una contraseña, pero se eliminaron del código en ejecución.

Más videos0 segundos de 1 minuto, 2 segundosVolumen 0%Presione el signo de interrogación shift para acceder a una lista de atajos de tecladoAtajos de tecladoReproducir/PausarESPACIOAumentar volumen↑Disminuir volumen↓Buscar adelante→Buscar atrás←Subtítulos Activar/DesactivarcPantalla completa/Salir de pantalla completafSilenciar/Desactivar silencioBuscar %0-9Live00: 0001:0201:02Más videosCerrar

Aún más extraño, esta vulnerabilidad no fue crítica para la pérdida de datos. La hazaña original (CVE-2018-18472) permitió a los atacantes obtener acceso de raíz a las unidades, robándoles los datos antes de borrar la unidad. Esta vulnerabilidadfue descubierto en 2018, pero Western Digital finalizó el soporte para My Book Live en 2015. La falla de seguridad nunca se solucionó.

«Hemos revisado los archivos de registro que hemos recibido de los clientes afectados para comprender y caracterizar el ataque», Western Digitalescribió en un comunicado. “Nuestra investigación muestra que, en algunos casos, el mismo atacante explotó ambas vulnerabilidades en el dispositivo, como lo demuestra la IP de origen. La primera vulnerabilidad se aprovechó para instalar un binario malicioso en el dispositivo, y la segunda vulnerabilidad se aprovechó más tarde para restablecer el dispositivo”.

Estas dos hazañas consiguieron el mismo objetivo pero con medios diferentes, conduciendo unainvestigación de la firma de seguridad Censysespecular que fueron obra de dos grupos diferentes de piratas informáticos. La investigación dice que es posible que un grupo original de atacantes explotara las vulnerabilidades de acceso raíz para conectar las unidades a una botnet (una red de computadoras de la que los piratas informáticos pueden obtener recursos). Sin embargo, un posible segundo grupo de atacantes entró y aprovechó la vulnerabilidad de restablecimiento de contraseña para bloquear a los atacantes originales.

Los dos exploits se aplican a los dispositivos de almacenamiento My Book Live y My Book Live Duo. Estas unidades brindan a los usuarios algunos terabytes de almacenamiento conectado a la red, razón por la cual estos ataques pudieron ocurrir en primer lugar. Western Digital dice que cualquier persona con un My Book Live o My Book Live Duo debe desconectar inmediatamente la unidad de Internet, incluso si no ha sido atacada.

Western Digital, un fabricante de unidades de disco duro para computadoras y una empresa de almacenamiento de datos, ofrece a los clientes afectados servicios de recuperación de datos, que comenzarán en julio. Un portavoz de Western Digital le dijo a Ars Technica que los servicios serán gratuitos. También ofrece a los clientes un programa de intercambio para actualizar a un dispositivo My Cloud más nuevo, aunque Western Digital no ha dicho cuándo se lanzará el programa.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *