Western Digital a expliqué qu’un malware campagne, qui exploite de multiples vulnérabilités dans son Appareils My Book, a conduit à la perte de masses de données la semaine dernière.
Dans son échec de la campagne contre son stockage en réseau (NAS) périphériques, WD a révélé que le micrologiciel My Book souffre d’une vulnérabilité d’injection de commande exploitable à distance.
Cependant, il s’agissait d’une autre vulnérabilité, introduite accidentellement en 2011 et désormais identifiée sous le nom CVE-2021-35941, qui a conduit à la réinitialisation d’usine des appareils.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et vous pouvez également choisir de participer au tirage au sort pour gagner un bon Amazon de 100 $ ou l’un des cinq abonnements ExpressVPN d’un an.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
« Notre enquête montre que dans certains cas, le même attaquant a exploité les deux vulnérabilités de l’appareil, comme en témoigne l’IP source. La première vulnérabilité a été exploitée pour installer un binaire malveillant sur l’appareil, et la deuxième vulnérabilité a ensuite été exploitée pour réinitialiser l’appareil », a écrit WD dans un article de blog.
Sommaire
Pris entre deux feux
WD a d’abord imputé la réinitialisation d’usine à la vulnérabilité d’exécution de commande à distance, identifiée comme CVE-2018-18472 et initialement signalée fin 2018. De manière alarmante, WD ne l’a jamais corrigée, car il a cessé de prendre en charge les appareils My Book trois ans auparavant, en 2015.
Cependant, une analyse des fichiers journaux des attaques effectuées par Ars Technica et les chercheurs en sécurité, ont conduit à la découverte de la vulnérabilité de réinitialisation d’usine non autorisée.
Cependant, cela n’a toujours pas de sens qu’un attaquant veuille effacer et réinitialiser un appareil qui a déjà été réquisitionné.
Apparemment, le malware que WD a trouvé sur les appareils lie les disques à un botnet. Ars théorise que la vulnérabilité de réinitialisation d’usine a été exploitée par un acteur de menace rival afin de saboter le botnet, peut-être après avoir échoué à le prendre en charge.
Quoi qu’il en soit, WD a annoncé qu’il offrira gratuitement services de récupération de données à tous les clients concernés.
