Hackers apagam HDs Western Digital remotamente usando falhas não corrigidas
HDs My Book Live para NAS, da Western Digital, foram apagados remotamente a partir de duas falhas zero-day
Imagine acessar o seu HD externo e descobrir que, de uma hora para outra, todos os dados armazenados ali sumiram. Muitos usuários das linhas My Book Live e My Book Live Duo, da Western Digital, passaram por isso recentemente. Não foi por acidente ou defeito, mas por ataque: hacker exploraram duas falhas nessas unidades para apagar remotamente os arquivos guardados nelas.
Em situações como essa, duas perguntas vêm à mente: como? E por quê? A primeira questão já tem resposta: uma investigação revelou que o firmware dos dispositivos My Book Live e My Book Live Duo têm uma vulnerabilidade do tipo zero-day, ou seja, que é explorada antes que o responsável pelo software disponibilize uma correção.
Essa falha permite que o HD seja redefinido para as configurações de fábrica. Isso significa que não só os dados armazenados podem ser apagados, com também as configurações de administrador, incluindo senhas definidas.
A própria Western Digital informou que a falha foi encontrada em 2018 e identificada como CVE-2018-18472. O problema é que o bug não foi corrigido porque as linhas My Book Live e My Book Live Duo, para NAS, tiveram seu ciclo de suporte encerrado em 2015.
Eis o efeito: na semana passada, vários usuários perceberam que seus HDs dessas linhas foram apagados. Quando eles tentavam fazer login via navegador no painel de administração, um aviso de “senha inválida” aparecia.
Não uma, mas duas falhas zero-day
O problema não terminou aí. As investigações mostraram que uma segunda falha zero-day foi explorada para atacar as unidades vulneráveis. A parte mais surpreendente da segunda falha é que ela poderia ter sido evitada com muito mais facilidade do que a primeira.
A linha My Book Live permite ao usuário apagar dados ou redefinir o dispositivo a partir de comandos remotos. Mas, para evitar ações maliciosas, as instruções para isso só devem ser executadas após a digitação de uma senha. Esse é um comportamento padrão em todo e qualquer sistema — ou deveria ser.
Porém, a investigação mostrou que algum desenvolvedor da Western Digital comentou o trecho do script que exige autenticação, o que significa que essas linhas foram desativadas.
Coube aos invasores descobrir uma forma de ordenar remotamente a eliminação dos dados a partir dessa brecha. Como o script que executa essa tarefa não pedia senha, os ataques foram executados com sucesso, para o desespero dos usuários.
A segunda falha recebeu a identificação CVE-2021-35941. Em nota, a Western Digital explicou que a vulnerabilidade existe desde 2011 — a linha My Book Live foi lançada em 2010 — e que o trecho do código em questão foi desativado porque as instruções para autenticação foram direcionadas a outro script. O problema é que esse script falha em acionar a requisição de senha.
O motivo dos ataques é um mistério
O que motivou os invasores a atacar essas unidades? Ninguém sabe ao certo. O mistério aumenta se levarmos em conta que, em muitos casos, as duas falhas foram exploradas, mas apenas uma delas seria suficiente para os HDs serem apagados.
Uma teoria levantada pela empresa de segurança Censys é a de que as ações são resultado de uma disputa entre hackers. Um hacker ou um grupo poderia ter usado a primeira vulnerabilidade para controlar os HDs com o intuito de usá-los em outras ações maliciosas; outro hacker ou grupo poderia então ter usado o segundo bug para interromper esse controle.
Essa teoria perde força, no entanto, se considerarmos que há evidências de que alguns ataques exploraram as duas falhas a partir do mesmo endereço IP.
E agora?
Para as vítimas dos ataques, a Western Digital prometeu ajudá-las a reaver os arquivos apagados com serviços de recuperação de dados. A empresa também prometeu oferecer aos donos das unidades vulneráveis um programa que troca esses HDs pelos atuais modelos My Cloud, que têm suporte.
Para quem possui um My Book Live ou My Book Live Duo não afetado pelo ataque, a instrução da empresa é um tanto óbvia: desconecte-o da internet o quanto antes.
Com informações: BleepingComputer, Ars Technica.
