Zakaj so WD-jevi zunanji diski minuli teden izgubljali podatke?

Matej Huš

30. jun 2021 ob 02:14:50

Minuli teden so uporabniki Western Digitalovih zunanjih diskov My Book Live, ki so bili povezani v mreže, naleteli na hudo nevšečnost, saj so zaradi ranljivosti lahko izgubili podatke. Diski so se namreč ponastavili na tovarniške nastavitve, kar je povzročilo popolno izgubo podatkov. Sedaj je znanih več informacij, kako so hekerji uspeli to ušpičiti.

Niso le izkoristili tri leta starega hrošča, kakor je kazalo sprva, temveč svežo (0-day) ranljivost. Predhodno nerazkrita ranljivost je tičala v datoteki system_factory_restore, ki vsebuje skripto PHP za ponastavitev diska, kar vključuje izbris podatkov. Ta skripta je vsebovala preveritev istovetnosti uporabnika z geslom, preden bi se pognalo brisanje, a je bila iz neznanih razlogov ta funkcija zakomentirana. To pomeni, da je bila zaščita z geslom namenoma onemogočena. Naprava, ki je priključena v internet, je imela torej možnost brisanja podatkov brez gesla. To je kar klicalo po katastrofi, ki se je sedaj zgodila.

Drugi pogoj za uspešne napade je bila omenjena ranljivost iz leta 2018. Te Western Digital ni nikoli zakrpal, ker so diske te generacije prenehali prodajati leta 2015. Trenutna najverjetnejša teorija pravi, da so hekerji najprej izkoristili ranljivost iz leta 2018, ki jim je dala administratorski dostop. Drugo ranljivost pa so bržkone izkoristili drugi hekerji, nepovezani s prvimi. Ti so najverjetneje želeli prevzeti nadzor nad okuženimi diski, ki jih je prva skupina uporabljala kot botnet. Ni še jasno, zakaj so ob tem brisali podatke.

Western Digital priporoča, da uporabniki naprave odklopijo od interneta.