WD My Book Live: dati persi, vulnerabilità zero-day

WD My Book Live: dati persi, vulnerabilità zero-day

Western Digital ha confermato che la cancellazione dei dati sui My Book Live è dovuta anche ad una seconda vulnerabilità zero-day presente dal 2011.
Western Digital ha confermato che la cancellazione dei dati sui My Book Live è dovuta anche ad una seconda vulnerabilità zero-day presente dal 2011.

La settimana scorsa diversi utenti hanno segnalato l'improvvisa scomparsa dei dati sui loro Western Digital My Book Live. Il produttore statunitense aveva attribuito la colpa ad un bug del 2018 che permette l'accesso root al dispositivo. Si scopre ora l'esistenza di una seconda vulnerabilità zero-day che consente il ripristino delle impostazioni di fabbrica senza richiedere la password di amministratore.

WD My Book Live: doppio problema di sicurezza

La prima vulnerabilità, identificata come CVE-2018-18472, può essere sfruttata per ottenere l'accesso da remoto ed eseguire codice arbitrario (malware) con privilegi root. Qualcuno ha quindi effettuato un port scanning per individuare le unità vulnerabili connesse ad Internet e cancellare tutti i dati. La seconda vulnerabilità, identificata come CVE-2021-35941, è stata introdotta nel firmware nel 2011.

In uno script PHP ci sono due funzioni che verificano l'inserimento della password di amministrazione prima di avviare il ripristino delle impostazioni di fabbrica (e quindi la cancellazione di tutti i dati). Per un motivo ignoto, le cinque righe di codice delle due funzioni sono disattivate (commentate con //). Il reset può essere quindi effettuato senza autenticazione.

Western Digital spiega che la prima vulnerabilità è stata sfruttata per installare un malware, mentre la seconda per eseguire il reset del dispositivo. Purtroppo My Book Live e My Book Live Duo non sono più supportati dal 2015. L'unica soluzione per evitare rischi (quella che consiglia il produttore californiano) è disconnettere le unità da Internet.

Western Digital ha comunicato che gli utenti potranno chiedere un servizio di recupero dati dall'inizio di luglio e la sostituzione del My Book Live (a prezzo scontato) con i recenti dispositivi My Cloud.

Link copiato negli appunti

Ti potrebbe interessare

30 06 2021
Link copiato negli appunti