Ars Technica’nın bir raporuna göre, geçen hafta WD My Book Live NAS’lardan verilerin toplu olarak silinmesine neden olmak için birden fazla istismar kullanılmış olabilir. İnsanların verilerinin eksik olduğunu fark ettikleri haberi çıktığında, bazıları (WD’nin kendisi dahil), 2018’den bilinen ve cihazın kök erişimine izin veren bilinen bir istismara işaret etti. Ancak, başlangıçta şüphelenilenden daha fazlası var gibi görünüyor.
Bu cihazlardan birine sahipseniz, daha fazla okumadan önce internetten bağlantısını kesmeniz gerekir. cihaz çevrimiçiyse risk altındadır.
Ars Technica tarafından bildirilen ikinci istismar, saldırgana diğer istismar gibi cihaz üzerinde tam kontrol sağlamaz. Sadece şifreyi bilmelerine gerek kalmadan cihazı uzaktan silmelerine izin verir. Verilerini kaybedenler için trajik bir şekilde, bunu engelleyebilecek kod aslında WD My Book Live’ın yazılımında mevcut gibi görünüyor, ancak bu değişiklik nedeniyle bir noktada WD tarafından yorumlanmış (veya devre dışı bırakılmış) görünüyor. , yazılım, fabrika ayarlarına sıfırlama yapması istendiğinde kimlik doğrulaması çalıştırmadı.
WD, 2015’te bu cihazları desteklemeyi bırakmıştı. En azından o zamandan beri bu açıktan yararlanılıyor olsa da, bariz güvenlik sorunu, yıllarca süren güncellemeler boyunca devam etti. Yine de, bilgisayar korsanlarının cihazları neden fabrika ayarlarına sıfırlamaya karar verdiğine dair soru hala devam ediyor.
Ars Technica’nın güvenlik firması Censys tarafından yapılan analize dayanan çılgın bir teorisi var: Verilerin silinmesi bir kavga sonucunda gerçekleşti. Bir botnet sahibinin potansiyel olarak diğerininkini devralmaya veya bozmaya çalıştığı bilgisayar korsanları arasında. Bir bilgisayar korsanı (veya bilgisayar korsanları grubu), cihazları bazı kötü amaçlarla kontrol etmek için bilinen istismarı kullanıyordu. Ardından, başka bir varlık, bu cihazları silmek için bilinmeyen uzaktan silme açığını kullandı. Büyük olasılıkla ilk varlığın donanıma erişimini ortadan kaldıracaktı – ancak kullanıcıların verileri çapraz ateşe yakalandı.
Kullanılan açıklardan yararlanmaların rekabet eden doğası göz önüne alındığında, teori mantıklı. (Bir bilgisayar korsanı, zaten root erişimine sahip olduktan sonra makineleri fabrika ayarlarına sıfırlamak için neden daha önce bildirilmemiş bir istismarı yaksın?) WD, Ars’a, en azından bazı durumlarda, her iki istismarın da kullanıldığını doğrulayabileceğini söyledi. Şirket, “saldırganların her iki güvenlik açığından da neden yararlandığının net olmadığını” söyledi ancak ikinci istismarla ilgili güvenlik tavsiyesini güncelleyeceğini belirtti.
Verge, ulaştığında hemen bir yanıt almadı. bulgularla ilgili yorum için WD’ye.
