Aanvallers maken gebruik van een zerodaylek om Western Digital (WD) My Book Live-apparaten op afstand te wissen. Dat meldt securitybedrijf Censys in een analyse en heeft de harde schijffabrikant tegenover Ars Technica bevestigd. Vorige week waarschuwde WD eigenaren van een My Book Live en My Book Live Duo voor aanvallen waarbij alle data op het apparaat werd gewist.

Volgens de fabrikant wordt erbij de aanvallen gebruik gemaakt van een kwetsbaarheid die sinds 2018 bekend is. Het gaat om een remote command execution kwetsbaarheid aangeduid als CVE-2018-18472. Dit beveiligingslek, dat het mogelijk maakt om code met rootrechten uit te voeren, is echter nooit verholpen in de firmware van de My Book Live-apparaten. Nu blijkt dat bij de waargenomen aanvallen ook een tweede, onbekende kwetsbaarheid wordt gebruikt voor het wissen van de apparaten.

Dit beveiligingslek is aanwezig in een PHP-script dat resets uitvoert en gebruikers in staat stelt om alle configuraties te resetten en alle data te wissen. Normaliter is een fabrieksreset van het apparaat, waarbij alle data wordt gewist, alleen mogelijk na het opgeven van een wachtwoord. Dit moet misbruik van de functie voorkomen. Nu blijkt dat de authenticatiecontrole in de code door Western Digital was uitgeschakeld. Om misbruik van het lek te maken zou een aanvaller het formaat van XML-requests moeten weten die de reset activeren. Iets wat volgens beveiligingsonderzoeker H.D. Moore niet heel lastig is.

"We kunnen bevestigen dat in sommige gevallen de aanvallers misbruik van de command injection kwetsbaarheid (CVE-2018-18472) maken, gevolgd door de fabrieksreset-kwetsbaarheid. Het is niet duidelijk waarom de aanvallers beide kwetsbaarheden misbruiken. We zullen een CVE-nummer voor de fabrieksreset-kwetsbaarheid aanvragen en ons bulletin met deze informatie updaten", aldus een woordvoerder van WD tegenover Ars Technica.

De vraag blijft waarom de aanvallers een tweede kwetsbaarheid gebruiken als ze al roottoegang hebben. Mogelijk is dit gedaan door een tweede aanvaller om zo de controle over te nemen of het botnet van een concurrent te saboteren. Volgens Censys zijn er 55.000 WD My Book Live-apparaten op internet te vinden, waarvan drieduizend in Nederland. 550 van deze Nederlandse WD-apparaten zijn volgens het bedrijf gecompromitteerd.