Il gigante degli hard disk, Western Digital, sta esortando gli utenti MyBook Live a disconnettere immediatamente da internet i dispositivi di archiviazione di rete, avvertendo che alcuni hacker stanno cancellando da remoto i dati presenti nelle unità, ripristinandole da zero. Questo sarebbe possibile sfruttando una vulnerabilità critica attivata da chiunque conosca l'indirizzo internet del dispositivo interessato.
Come riporta Krebs on Security, all'inizio della settimana scorsa Bleeping Computer e Ars Technica hanno segnalato un acceso thread sul forum di Western Digital in cui molti clienti si lamentavano di aver trovato i loro dispositivi MyBook Live e MyBook Live Duo completamente ripristinati e senza dati.
"Western Digital ha stabilito che alcuni dispositivi My Book Live e My Book Live Duo vengono compromessi attraverso lo sfruttamento di una vulnerabilità che consente di eseguire dei comandi da remoto", ha affermato la società in una dichiarazione del 24 giugno. "In alcuni casi, questo ha portato a un reset di fabbrica che sembra cancellare tutti i dati sul dispositivo. I dispositivi My Book Live e My Book Live Duo hanno ricevuto l'ultimo aggiornamento del firmware nel 2015. Comprendiamo che i dati dei nostri clienti siano molto importanti. Stiamo indagando attivamente sul problema e forniremo un avviso aggiornato quando avremo maggiori informazioni”.
Il breve avviso di Western Digital include un collegamento a una voce nel National Vulnerability Database per CVE-2018-18472. Il resoconto di NVD dice che Western Digital WD My Book Live e WD My Book Live Duo (tutte le versioni) hanno un "root Remote Command Execution bug". "Può essere attivato da chiunque conosca l'indirizzo IP del dispositivo interessato, sfruttato nel giugno 2021 per i comandi di ripristino delle impostazioni di fabbrica", scrive NVD.
La documentazione sarebbe stata rilasciata nel 2018 e sembra che Wizcase avesse segnalato il bug a Western Digital tre anni fa, nel giugno 2018. In un certo senso, è notevole che ci sia voluto così tanto tempo per attaccare i dispositivi MyBook vulnerabili: l'articolo di Wizcase del 2018 sulla falla include un codice proof-of-concept che consente a chiunque di eseguire comandi sui dispositivi come l'onnipotente utente "root".
La risposta di Western Digital in quel momento è stata che i dispositivi interessati non erano più supportati e che i clienti avrebbero dovuto evitare di collegarli a Internet. Quella risposta ha anche suggerito che questo bug è presente nei suoi dispositivi da almeno un decennio. "Il rapporto sulla vulnerabilità CVE-2018-18472 riguarda i dispositivi My Book Live originariamente introdotti sul mercato tra il 2010 e il 2012", si legge in una risposta di Western Digital che Wizcase ha pubblicato sul suo blog.
Wizcase riferiva che il difetto potrebbe essere presente anche in alcuni NAS WD MyCloud, sebbene Western Digital non li menzioni nel suo avviso.
I dispositivi MyBook vulnerabili sono popolari tra gli utenti domestici e le piccole imprese perché sono relativamente ricchi di funzionalità ed economici e può essere aggiunto dello spazio di archiviazione abbastanza facilmente. Ma questi prodotti rendono anche semplice per gli utenti l'accesso ai propri file in remoto su internet utilizzando un'app mobile. Se desideri ancora mantenere il MyBook connesso alla rete locale - ma non a internet -, assicurati che l'accesso remoto non sia abilitato nelle impostazioni del tuo dispositivo.