Western Digital の古い NAS、WD My Book Live および WD My Book Live Duo が未修正の脆弱性(CVE-2018-18472)を突かれ、リモートからファクトリーリセットを実行されてデータがすべて消えたとの報告が複数出ている(セキュリティアドバイザリー WDC-21008、 BleepingComputer の記事、 Ars Technica の記事、 The Register の記事)。

両製品は2010年～2012年に発売され、2014年に販売終了しており、最後にファームウェアが更新されたのは2015年のことだという。CVE-2018-18472はリモートから root としてコマンドを実行可能な脆弱性で、2018年に報告され、PoC も公開されている。しかし、Western Digital は報告者に対し、ファイアーウォールでリモートからのアクセスを防ぎ、ローカルネットワーク内の信頼されたデバイスのみがアクセスできるようにするなどの対策を提示するにとどまった。

今回 Western Digital では問題を調査していると述べる一方、現時点ではインターネットから両製品を切り離すことを推奨している。

すべて読む | ハードウェアセクション | セキュリティ | ネットワーク | バグ | インターネット | ストレージ |

関連ストーリー：
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日
WDの公称「5400rpmクラス」の一部HDDが実際は7200rpmであると指摘される 2020年09月09日
Western Digital、WD Redの記録方式問題を受けて各HDDの記録方式を公開 2020年05月01日
9月に判明した古いiOSデバイスのBoot ROMに存在する脆弱性、CERT/CCが脆弱性情報を公開 2019年12月21日
Intel、古い製品向けのドライバーやBIOSアップデートなどのダウンロード提供終了を進める 2019年11月22日
古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能 2019年09月29日
1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される 2019年07月26日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日
Western Digital、同社製品で採用するプロセッサをRISC-Vへ移行すると発表 2017年12月06日
Microsoft、Windows XPなど旧OS用の新たなセキュリティ更新プログラムをさらに公開 2017年06月16日