Una vulnerabilidad de zero-day detrás del grave problema de WD My Book

Vimos recientemente un grave problema que afectaba a los usuarios con un WD My Book. De repente todos sus archivos quedaron eliminados y no podían acceder a su cuenta de usuario. Sin duda un problema más que importante, ya que pudo afectar seriamente tanto a nivel doméstico como empresas y organizaciones. Hoy nos hacemos eco del motivo de este problema: una vulnerabilidad de zero-day.

Un fallo de zero-day permitió vaciar los NAS WD My Book

Cuando hablamos del grave problema que puso en juego los datos de los usuarios de WD My Book, se desconocía en ese momento a qué se debía. Ahora ya podemos confirmar lo que sospechábamos: una vulnerabilidad. Concretamente se trata de un fallo de zero-day o día cero que ha sido explotado.

Muchos usuarios reportaron que el pasado 24 de junio se ejecutó un script llamado factoryRestore.sh en sus dispositivos, que borró los archivos del dispositivo. Esto básicamente lo que hizo fue dejar el equipo tal y como viene de fábrica, con lo que ello conlleva.

Hay que recordar que este dispositivo no ha recibido actualizaciones desde 2015. Lógicamente un fallo de seguridad sin corregir y que pueda ser utilizado por los piratas informáticos supone un problema importante que puede dar lugar a lo que hemos visto.

Ahora indican que los atacantes se basaron en una vulnerabilidad registrada como CVE-2018-18472, pero utilizaron otra diferente de día cero para llegar a restablecer los dispositivos a los valores de fábrica y borrar todo el contenido almacenado.

El último firmware del dispositivo, afectado

Se trata de una vulnerabilidad de día cero que afectaba al último firmware del dispositivo. Este fallo permitía a un atacante, de forma remota, realizar un reseteo del dispositivo y ponerlo como viene de fábrica en todos aquellos equipos que estuvieran conectados a Internet.

Los investigadores de seguridad informática también han indicado que ha podido haber ataques continuados desde hace tiempo. Según indican desde Abdine, los atacantes han estado explotando desde hace tiempo la vulnerabilidad CVE-2018-18472, que es de 2018. Esto permitió que los dispositivos WD My Book pudieran ser agregados a una botnet. Ya sabemos que es muy importante evitar que un equipo entre en una botnet.

Esta vulnerabilidad sería la puerta de entrada para ejecutar un comando en el dispositivo que descargaría un script de un sitio remoto y lo ejecutara. Cuando estaban incluidos en esa botnet, los atacantes podrían utilizarlos de forma remota, llevar a cabo ataques DDoS, afectar a otros equipos o llegar a robar archivos almacenados.

Una vez más vemos la importancia de tener todos nuestros equipos correctamente actualizados y que no cuenten con vulnerabilidades. Es algo que especialmente hay que tener en cuenta en los dispositivos IoT. Cada vez tenemos más equipos conectados a la red y pueden quedar expuestos en caso de que surja una vulnerabilidad y pueda ser explotada. Hay muchas variedades de virus, muchos problemas en forma de malware que pueden dañarnos de una u otra forma.

Desde RedesZone recomendamos mantener todos los equipos conectados a la red protegidos. Hemos visto muchos casos en los que pueden ser atacados si existe alguna vulnerabilidad o hay algún problema relacionado con el firmware (como en este caso) o algún programa instalado.