Parece que se ha utilizado más de un exploit para provocar la eliminación masiva de datos de los NAS WD My Book Live la semana pasada, según un informe de Ars Technica. Cuando se supo que a los usuarios les faltaban sus datos, algunos (incluido el propio WD) dijeron que era un exploit conocido de 2018, que permitió el acceso root al dispositivo. Sin embargo, parece que están sucediendo más cosas de las que se sospechaba inicialmente.
Si tienes uno de estos dispositivos, debe desconectarlo de Internet antes de seguir leyendo; en este punto, está claro que tus datos están en riesgo si el dispositivo está online.
El segundo exploit, no le da al atacante un control total sobre el dispositivo como el otro exploit. Simplemente les permite borrar el dispositivo de forma remota sin tener que saber la contraseña. Según un aviso de seguridad de WD, la vulnerabilidad data de 2011, un año después de que llegaran las unidades al mercado. Los analistas descubrieron que había un código que podría haber evitado el problema, pero que estaba desactivado, por lo que el software no corre la autenticación cuando se le pidió que hiciera un restablecimiento de fábrica.
WD dice en su publicación que el código que se desactivó fue intencional y se debió a que la compañía refactorizó cómo se realizó la autenticación en el dispositivo. Sin embargo, la compañía dice que el exploit se introdujo cuando el factor no pudo agregar el tipo de autenticación correcta, lo que generó la vulnerabilidad.
ENTONCES, ¿ POR QUÉ LOS PIRATAS INFORMÁTICOS RESTABLECIERON LOS DISPOSITIVOS A UN ESTADO DE FÁBRICA?
Sin embargo, la pregunta sigue siendo por qué los piratas informáticos decidieron restablecer los dispositivos a un estado de fábrica. La teoría es un poco descabellada, basada en el análisis de la firma de seguridad Censys: la eliminación de datos ocurrió como resultado de una pelea entre piratas informáticos que, conocedores de los exploits, intentaron acabar con sus oponentes accediendo a sus dispositivos para borrarlos. El problema es que por el medio, como víctimas colaterales, han quedado muchísimos usuarios de estos sistemas de almacenamiento.
WD dijo que «no esta claro por qué los atacantes explotaron ambas vulnerabilidades».
WD esta trabajando para resolver todo esto.