Western Digital
Western Digital

Western Digital(WD)のNAS「My Book Live」を使用している世界中の人たちから、突然保存していたデータが消失したとの報告が相次ぐ問題が発生したのは5日ほど前のことでした。この問題は単一の脆弱性を突いたものだけでなく、ハッカーがパスワードなしでリモートで工場出荷時のリセットを実行できる2番目の重大なセキュリティバグの悪用が含まれていたことが判明しています。

My Book Liveはインターネットアクセス機能を持つNASで、外部のコンピューターをワイヤレスでバックアップしたり、外出先でもスマートフォンなど任意のデバイスからNASに保存したファイルにアクセスしたりできる優れものです。しかしそこに保存しておいたデータが何者かによって消去されてしまえば、ユーザーに取っての損失は非常に大きなものとなるでしょう。

当初、この問題はNASのシステムに存在したゼロデイ脆弱性(CVE-2021-35941)を突いたものだということが判明していました。しかし、情報セキュリティ企業Censysの調査によると、問題を被ったデバイスの中にはNASを工場出荷時の状態に戻すために使用するPHPスクリプト”system_factory_restore”に存在する脆弱性を突かれたものがあることが新たに判明したとのこと。

My Book Liveではユーザーが工場出荷状態にする際にパスワードを入力するようになっており、そのパスワードは暗号化で保護されます。ところが、何者かが上記スクリプトの当該処理部分にコメントアウト符号を追記したせいで、保護が無効化されていました。Censysは、この改ざんを行うには「攻撃者がリセットをトリガーするスクリプトのフォーマットを知っている必要がある」とし、WD内部の(もしくはかつて内部にいた)人物の関与の可能性を指摘しています。

一方、CVE-2021-35941が悪用されたデバイスの一部では、それがマルウェアに感染しているケースがありました。このマルウェアはLinux.Ngiowebと呼ばれるボットネットにMy Book Liveを組み込みます。

では、なぜこれほど多くのMy Book Liveをボットネットに組み込むことに成功した攻撃者が、わざわざデバイスを工場出荷状態に戻したのでしょうか。

考えうるストーリーは、ゼロデイ脆弱性を突いた攻撃者と、工場出荷状態に戻した攻撃者がおそらく敵対する立場にある別々の人物で、最初の攻撃者の行為に対して、2番目の攻撃者はライバルのボットネットの制御を奪おうとしたか、単に妨害したかったのではないかということです。

いずれにせよ、今回の問題はすでに2015年にサポートも終了しているMy BookLiveストレージデバイスが、もはや安心して使えるデバイスではないことを示しています。もしそれをまだ利用している人は、メーカーが要請するとおり、できるだけ早くインターネットから切断する必要があります。

最新の情報では、 WDはメーカーとしてデータ回復サービスを提供することを明らかにしており、さらにMy Book Liveユーザーには、サポートされる新しいMyCloud製品にアップグレードするための下取りプログラムも提供するとしています。

いろいろな要素が服ザルに絡んだ今回の問題ですが、確実に言えることは、ネットワーク機能を持つストレージデバイスは、製品サポート期限が過ぎたら早めに買い換えるのが無難だということです。

Source:Western Digital

via:Ars Technica