Publicidade

HDs da Western Digital foram resetados por criminosos graças a falha de dia zero

Por| Editado por Claudio Yuge | 29 de Junho de 2021 às 16h30

Link copiado!

HDs da Western Digital foram resetados por criminosos graças a falha de dia zero
HDs da Western Digital foram resetados por criminosos graças a falha de dia zero
Tudo sobre Western Digital

Na semana passada, milhares de dispositivos de armazenamento da linha My Book Live, formada por HDs conectados que criam um serviço de nuvem privado, da Western Digital tiveram seu conteúdo apagado remotamente por criminosos. Uma investigação do caso revelou que a ação se baseou tanto na exploração de uma falha de dia zero (que ainda não era conhecida) quanto na decisão da fabricante de retirar uma checagem de segurança básica.

A brecha de segurança explorada permitia modificar o script PHP que inicia a restauração dos dispositivos de armazenamento às suas especificações de fábrica — o que elimina todos os dados contidos neles. Normalmente, esse processo exige que o usuário insira seus dados de login para confirmar a ação, mas a maneira como a Western Digital configurou os produtos impedia isso.

Um desenvolvedor da empresa criou cinco linhas de código destinadas a proteger o processo de reinicialização, mas elas foram canceladas — ou comentadas, no jargão de programação. Ao site Ars Technica, o especialista em segurança e CEO da Rumble, HD Moore, afirmou que a decisão tomada pela fabricante não é nada positiva e poderia até ser encarada como algo intencional.

Continua após a publicidade

A exploração da vulnerabilidade depende do conhecimento do formato do pedido XML usado para reiniciar os dispositivos de armazenamento. Para Moore, embora isso não seja tão fácil quanto acionar um pedido GET através de um endereço, descobrir como fazer isso não é exatamente algo difícil.

Falha era conhecida desde 2018

Embora a Western Digital tenha descontinuado a linha My Book Live em 2015, dispositivos do tipo continuam sendo usados em ambientes corporativos e residenciais. A falha de segurança explorada no ataque (CVE-2018-18472) é conhecida desde o fim de 2018, mas nunca foi corrigida graças ao fim de suporte oficial aos produtos.

Continua após a publicidade

Segundo Derek Abdine, CTO da empresa de segurança Censys, a falha já era explorada há um tempo considerável por um grupo que usavam os dispositivos de armazenamento dentro de uma botnet. Sua teoria é que os ataques responsáveis for fazer a reinicialização de fábrica dos produtos foram iniciados por operadores rivais, que poderiam querer tomar o controle da rede ou sabotá-la.

A recomendação da Western Digital é que todos que tenham um aparelho da linha My Book Live em operação devem desconectá-lo da internet o quanto antes para não se tornar uma vítima. Segundo Abdine, a solução atual da empresa — conhecida como My Cloud Live — traz pouca semelhança com a plataforma anterior e pode ser considerada segura e livre das brechas de segurança que estão sendo exploradas.

Fonte: Ars Technica, Censys, Western Digital