Cybercriminelen wissen duizenden WD NAS-apparaten via uitvoering van externe code
Dankzij een niet-gepatchte zero-day-kwetsbaarheid konden hackers een fabrieksreset uitvoeren op duizenden Western Digital NAS-apparaten. Als gevolg hiervan zijn de eigenaren van My Book Live en My Book Live DUO al hun opgeslagen gegevens kwijt. De wipeout vond naar verluidt plaats nadat de boeven in het spel met succes directe of indirecte (via port forwarding) verbindingen tot stand brachten met elk getroffen apparaat met behulp van een groot aantal willekeurig gekozen IP-adressen over de hele wereld. Terwijl de functionarissen van Western Digital het probleem momenteel onderzoeken, hebben ze duidelijk gemaakt dat de aanval geen tekenen vertoonde van verspreiding over de cloudgebaseerde omgeving, firmware of klantgegevensservers. Ze hebben echter alle My Book Live- en My Book Live Duo NAS-bezitters geadviseerd om hun apparaten los te koppelen van het web totdat er een patch uitkomt.
Inhoudsopgave
Potentiële verbinding met een oude fout
De firmware van de NAS-apparaten van WD heeft sinds 2015 geen updates meer gekregen. Drie jaar later zou een cyberbende een beveiligingslek hebben gevonden waardoor externe code op elk online My Book Live- en My Book Live Duo NAS-apparaat kon worden uitgevoerd. De onderzoekers van Western Digital vermoeden dat de malware-actoren waarschijnlijk het web hebben gescand op kwetsbare randapparatuur en de IP-adressen van veel My Book Live- en My Book Live Duo-apparaten zijn tegengekomen.
Gearchiveerd onder CVE-2018-18472, ondergaat het beveiligingslek momenteel een nieuwe analyse om te zien welke andere schade het kan veroorzaken als het door de verkeerde personen wordt uitgebuit.
Gegevensherstel tot gemengd succes
Terwijl sommige van de getroffen WD NAS-eigenaren met succes tools voor gegevensherstel hebben gebruikt, zoals PhotoRec, om delen van hun gegevens terug te krijgen, hebben anderen nog niet zo'n succes gehad. De Amerikaanse fabrikant van datadrives test momenteel verschillende data recovery tools om te kijken wat wel en niet werkt. We moeten nog zien hoe effectief alternatieve software voor gegevensherstel kan blijken te zijn. Tot die tijd lijken de vooruitzichten op volledig gegevensherstel op zijn best somber te blijven.
Geen losgeld nota
Hoewel duizenden NAS-bezitters volledig gegevensverlies hebben geleden, heeft niemand een losgeldbrief ontvangen, wat inhoudt dat de aanvaller mogelijk de slachtoffers van hun bestanden wilde beroven, alleen maar omwille van het. Evenmin heeft Western Digital enig vereist losgeld gemeld. Toch is de dreiging reëel en de schade een feit. Bovendien vond het gegevensverlies plaats, hoewel de getroffen WD NAS-apparaten allemaal gebruikmaken van een firewall en beveiligde communicatiekanalen in de cloud.
Dit soort incidenten onderstrepen de noodzaak van een meersporenaanpak als het gaat om dataopslag. Het gebruik van slechts één medium, al dan niet in de cloud, biedt mogelijk niet langer voldoende om mogelijk verlies later te voorkomen. Daarom raden we aan om regelmatig back-ups te maken op meerdere online en offline media om het risico op gegevensverlies tot een minimum te beperken.