Инцидент с потерей данных на сетевых накопителях WD My Book Live и My Book Live Duo

Компания Western Digital рекомендовала пользователям срочно отключить устройства хранения WD My Book Live и My Book Live Duo от интернета в связи появлением массовых жалоб об удалении всего содержимого накопителей. На данный момент известно лишь то, что в результате деятельности неизвестного вредоносного ПО производится удалённое инициирование сброса устройств в исходное состояние с очисткой всего сохранённого на накопителе содержимого.

Устройства WD My Book Live и My Book Live Duo поддерживает подключение к Ethernet и работу в форме сетевого хранилища с возможностью удалённого доступа к своим файлам и изменению конфигурации через облачный сервис Western Digital. Компания Western Digital заявила, что на данный момент не выявлено фактов, указывающих на то, что атака совершается через компрометацию облачного сервиса компании, а не конечных устройств пользователей.

Предполагалось, что атака могла быть совершена через получение контроля над отдельными учётными записями пользователей в облачном сервисе, но судя по отчётам пострадавших, у некоторых из них была отключена функция управления через облачный сервис. Основная версия произошедшего отталкивается от того, что атака на WD My Book Live и My Book Live Duo производится при помощи не исправленной с 2018 года уязвимости (CVE-2018-18472) в прошивке, допускающей удалённое выполнение кода с правами root. Поддержка хранилищ WD My Book Live и My Book Live Duo была прекращена в 2015 году и с тех пор обновлений прошивок не выпускалось.

Источник: opennet.ru