Hackers exploraram bug antigo em NAS da Western Digital

Da Redação
29/06/2021

Na semana passada, vários usuários dos dispositivos WD My Book Live e My Book Live Duo NAS da Western Digital encontraram um problema inesperado, no qual todos os seus dados foram misteriosamente excluídos dos dispositivos de armazenamento conectados à rede. Alguns usuários disseram que uma redefinição de fábrica foi iniciada em seus equipamentos.

Ao que tudo indica, as redefinições de fábrica em massa foram o resultado de um ataque, no qual os hackers exploraram uma vulnerabilidade antiga, de 2018, para comprometer o WD My Book Live e o My Book Live Duo.

“A Western Digital determinou que alguns dispositivos My Book Live e My Book Live Duo estão sendo comprometidos pela exploração de uma vulnerabilidade de execução de comando remota. Em alguns casos, os invasores acionaram uma redefinição de fábrica que parece apagar todos os dados dos dispositivos”, disse a Western Digital em um comunicado em seu site.

A vulnerabilidade em questão é a CVE-2018-18472, um problema de injeção de comando que permite a um atacante remoto executar comandos arbitrários com privilégios de root — root é a principal conta do sistema com direitos supremos, podendo ter acesso a qualquer dispositivo, arquivos e comandos, inclusive para remover o sistema. 

Ao analisar os arquivos de registro recebidos dos clientes afetados, a Western Digital descobriu que os invasores se conectaram diretamente aos dispositivos My Book Live afetados a partir de uma variedade de endereços IP em diferentes países, sugerindo que os dispositivos afetados foram expostos na internet, por meio de conexão direta ou encaminhamento de porta que foi habilitado manual ou automaticamente via UPnP, protocolo que permite a outros aplicativos e dispositivos se conectem à uma rede.

Veja isso
Centenas de storages QNAP estão sendo atacados por ransomware
Como o Kubernetes auxilia no gerenciamento e segurança do armazenamento

Além disso, os arquivos de log mostraram que os invasores instalaram um cavalo de Tróia com um arquivo denominado “.nttpd, 1-ppc-be-t1-z” em alguns dispositivos. Esse malware é um binário Linux ELF compilado para a arquitetura PowerPC usada pelo My Book Live e Live Duo. A amostra de malware foi capturada para análise posterior e enviada ao VirusTotal, disse a Western Digital.

“Nossa investigação deste incidente não revelou nenhuma evidência de que os serviços em nuvem da Western Digital, servidores de atualização de firmware ou credenciais do cliente foram comprometidos. Como os dispositivos My Book Live podem ser expostos diretamente à Internet por meio do encaminhamento de porta, os invasores podem descobrir dispositivos vulneráveis ​​por meio da varredura de portas”, disse a empresa.

“Ainda não entendemos por que o invasor acionou a redefinição de fábrica; no entanto, obtivemos uma amostra de um dispositivo afetado e estamos investigando mais detalhadamente”, disse a Western Digital no comunicado.

Compartilhar: