Vorige week raakte bekend dat eigenaars van WD My Book Live-toestellen op mysterieuze wijze al hun data kwijt raakten. Twee softwarelekken lijken nu aan de basis van het probleem te liggen.
Wie een My Book Live van Western Digital bezit, haalt die NAS best meteen offline. Sinds vorige week worden eigenaars wakker met volledig gewiste toestellen waarvan alle data verdwenen zijn. Het probleem verrast enigszins aangezien er geen duidelijke aanleiding te vinden was. Waarom zou een hacker gewoon toestellen wissen?
Twee lekken
Intussen is er meer duidelijkheid. Het lijkt er op dat de WD My Book Live-toestellen kwetsbaar zijn voor twee exploits. Eén werd al in 2018 ontdekt en laat een aanvaller toe om root-toegang tot een toestel te krijgen. De andere gaat minder ver, maar geeft een hacker nog steeds de mogelijkheid om zonder gebruikersnaam of wachtwoord een complete reset te starten. Dat laatste lek is een pas ontdekte zero-day.
De nieuwe zero-day zou al in 2011 in de code zijn geslopen. WD heeft het probleem destijds bijna opgelost, maar om de één of andere reden werd essentiële code op het laatste nippertje niet geïmplementeerd. De My Book Live-NAS-toestellen worden al sinds 2015 niet meer ondersteund door WD, waardoor het euvel nooit werd ontdekt.
Oorlog tussen hackers
De vraag blijft nu waarom aanvallers toestellen van nietsvermoedende gebruikers zouden wissen. ArsTechnica heeft daarvoor een plausibele theorie. Het lijkt er op dat een hacker aanvankelijk de kwetsbaarheid uit 2018 misbruikte om admin-toegang te krijgen tot de My Book Live-producten. Die aanvaller installeerde vervolgens malafide software en voegde de toestellen toe aan een eigen botnet.
Een rivaliserende hacker wilde vervolgens dat botnet overnemen of toch zeker saboteren. Via de zero-day-kwetsbaarheid voerde hij een reset uit, waardoor ook de originele aanvaller controle over het toestel verloor. De nietsvermoedende eigenaars van de WD My Book Live en hun data zijn onbedoelde slachtoffers van die strijd.
Reactie
Western Digital plant de oude My Book Live-toestellen niet opnieuw te ondersteunen, maar voorziet wel een ruilprogramma waarmee klanten kunnen upgraden naar een modern My Cloud-toestel. Die nieuwe NAS-line-up bevat geen van bovenstaande kwetsbaarheden. Verder plant WD om zijn data recovery-diensten gratis aan te bieden aan slachtoffers. Verdere details maakt WD binnenkort bekend.