Nadat eigenaren van Western Digital My Book Live over de hele wereld meldden dat hun apparaten ‘s nachts op afstand waren gewist, gaf het bedrijf een verklaring af waarin een specifieke kwetsbaarheid (CVE-2021-35941) voor het evenement werd beschuldigd. Een extern onderzoek uitgevoerd door Ars Technica en Derek Abdine (CTO bij beveiligingsbedrijf Censys) heeft echter onthuld dat de kwaadwillenden een andere ongedocumenteerde kwetsbaarheid hebben misbruikt in een bestand met de toepasselijke naam system_factory_restore.

Gewoonlijk zouden gebruikers hun wachtwoord moeten invoeren om de fabrieksinstellingen op hun apparaten te kunnen herstellen. Het script in het bestand bevat inderdaad regels om de reset-opdracht met een wachtwoord te beveiligen. Iemand in Western Digital heeft echter “commentaar” of, in niet-technisch taalgebruik, de opdracht geannuleerd door het dubbele / teken aan het begin van elke regel toe te voegen. HD Moore, een beveiligingsexpert, legde aan Ars uit dat dit er niet goed uitziet voor het bedrijf. “Het is alsof ze opzettelijk de bypass hebben ingeschakeld”, zei Moore, omdat de aanvallers het formaat van het script zouden moeten kennen dat de reset activeert om de kwetsbaarheid te misbruiken.

Apparaten die zijn gehackt met behulp van de kwetsbaarheid CVE-2021-35941, waren geïnfecteerd met malware, en in ten minste één geval was het malware die een apparaat onderdeel van een botnet maakte. Aangezien het geen zin heeft om My Book Live-opslagapparaten in botnets te veranderen en ze vervolgens schoon te vegen, is de theorie van Abdine dat een hacker de kwetsbaarheid CVE-2021-35941 heeft misbruikt. Daarna maakte een tweede (mogelijk rivaliserende) hacker misbruik van de voorheen onbekende reset-kwetsbaarheid om controle te krijgen over de apparaten, die vervolgens onderdeel werden van een botnet, of om het werk van de eerste ongedaan te maken.

Hoe dan ook, deze gebeurtenis laat alleen maar zien dat de My Book Live-opslagapparaten op dit moment niet zo veilig zijn als iemand zou willen. Degenen die het nog steeds bezitten, moeten het advies van Western Digital opvolgen en het zo snel mogelijk van internet loskoppelen.

Alle door Engadget aanbevolen producten zijn geselecteerd door onze redactie, onafhankelijk van ons moederbedrijf. Sommige van onze verhalen bevatten gelieerde links. Als u iets koopt via een van deze links, kunnen we een aangesloten commissie verdienen.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in