Vulnerabilidad crítica permite que ciberdelincuentes formatearan discos duros remotamente
Una vulnerabilidad 0-day (día cero) en los dispositivos NAS Western Digital My Book Live permitió a ciberdelincuentes realizar restablecimientos masivos de fábrica en los dispositivos. El incidente ocurrió la semana pasada, lo que provocó la pérdida de datos.
La semana pasada, nos enteramos que los propietarios de NAS de Western Digital My Book Live descubrieron de repente que sus archivos almacenados habían desaparecido misteriosamente. Desafortunadamente, el restablecimiento de fábrica también restableció las contraseñas de administrador. Por lo tanto, los usuarios no pudieron iniciar sesión en sus dispositivos a través del panel web o SSH.
Después de que algunos usuarios analizaron los registros del dispositivo, encontraron que el 24 de junio, se ejecutó un script llamado factoryRestore.sh en sus dispositivos. Ese script fue el que borró los archivos del dispositivo.
Jun 24 00:26:53 MyBookLive factoryRestore.sh: begin script:
Jun 24 00:26:53 MyBookLive shutdown[5033]: shutting down for system reboot
Jun 24 00:26:53 MyBookLive logger: exit standby after 9674 (since 2021-06-23 21:45:39.926803414 +0100)
Western Digital dijo originalmente que los ataques se estaban llevando a cabo a través de una vulnerabilidad del 2018 identificada como CVE-2018-18472. La mencionada vulnerabilidad no se reparó porque el dispositivo ya no tiene soporte desde 2015.
Resulta que, si bien los actores de amenazas usaron esta vulnerabilidad en ataques contra dispositivos My Book Live, no fue esa la vulnerabilidad explotada. En realidad, en este caso fue una vulnerabilidad día cero diferente responsable de los restablecimientos de fábrica.