先週、Western Digital My Book Live NAS ドライブのデータが消去された人たちにとっては、何の慰めにもならないだろうが、どうやら 2 つの脆弱性の組み合わせによる攻撃を受けたようで、おそらく 2 つの異なるハッカー チーム間の争いの余波に巻き込まれたのかもしれない。
本日更新されたWestern Digitalの声明には、次のように記載されています。「My Book LiveおよびMy Book Live Duoデバイスは、デバイスに存在する複数の脆弱性を悪用した攻撃を受けています。…My Book Liveファームウェアは、デバイスがリモートアクセスを有効にしている場合、リモートから悪用可能なコマンドインジェクションの脆弱性を抱えています。この脆弱性を悪用されると、ルート権限で任意のコマンドが実行される可能性があります。さらに、My Book Liveは認証されていない工場出荷時設定へのリセット操作に対しても脆弱であり、攻撃者は認証なしでデバイスを工場出荷時設定にリセットできます。この認証されていない工場出荷時設定へのリセットの脆弱性には、CVE-2021-35941が割り当てられています。」
WD のファームウェアを分析すると、問題を防止するためのコードが WD 自身によってコメント アウトされ、実行できないようにされており、component_config.phpに認証タイプが追加されていなかったため、工場出荷時設定へのリセットを実行する前にドライブが認証を求めないことが示されています。
すると、なぜ 1 人のハッカーが 2 つの異なるエクスプロイト、特に文書化されていない認証バイパスを使用したのかという疑問が生じます。彼らはすでにコマンド インジェクションの脆弱性によってルート アクセスを取得していたにもかかわらず、この脆弱性を悪用したのです。信頼できる技術サイト Ars Technica は、複数のグループが関与しており、1 つのグループの悪者が別のボットネットを乗っ取るか、妨害しようとしている可能性があると推測しています。
Western Digital 社は見事な対応を見せ、7 月からデータ復旧サービスを開始し、旧式の My Book Live ドライブをより新しい My Cloud デバイスと交換する下取りプログラムも開始しました。
影響を受けるデバイスのいずれかをお持ちの場合は、インターネットに接続せず、Western Digital にサポートを依頼してください。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
