未修正の脆弱性を突かれてリモートからファクトリーリセットが実行された Western Digital の WD My Book Live/Live Duo で、新たな脆弱性が見つかったそうだ(Western Digital のアドバイザリー、 Ars Technica の記事)。

この脆弱性(CVE-2021-35941)は認証なしにファクトリーリセットが可能になるというもので、2011年4月に認証ロジックのリファクタリングを行った際に導入されたという。リファクタリングの目的としては、複数ファイルで個別に実装されていた認証ロジックを単一のファイルにまとめるというものだ。しかし、ファクトリーリセットに関する system_factory_restore.php では認証ロジックを削除した一方で、このファイルの適切な認証タイプが component_config.php に追加されていなかったという。

当初、リモートからのファクトリーリセット攻撃には CVE-2018-18472 の脆弱性が使われたと考えられていたが、CVE-2021-35941 も使われていたようだ。被害にあったユーザーのログをWestern Digital が確認したところ、複数の国のさまざまな IP アドレスから攻撃が行われていたという。中には同じ攻撃者が CVE-2018-18472 で悪意あるバイナリーをインストールし、後に CVE-2021-35941 でデバイスをリセットしていたケースもあるとのこと。ボットネット運用者がライバルのボットネットを妨害するために実行したという説も出ている。

この問題を受けて Western Digital では影響を受けるデバイスをインターネットから切り離すことを推奨していたが、7月にはデータ復旧サービスとサポートされる My Cloud デバイスへのトレードインプログラムを開始するとのことだ。

すべて読む | ITセクション | セキュリティ | ネットワーク | スラッシュバック | バグ | ストレージ |

関連ストーリー：
Western Digital の古い NAS、リモートから攻撃を受けて初期化される 2021年06月26日
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日
Linux＋ApacheのWebサーバを標的とするルートキット 2008年01月28日