[Actualización] Vulnerabilidad en los NAS WD My Book Live permite borrar todos los datos remotamente

Malas noticias para aquellos usuarios que posean cualquiera de los dos modelos de los WD My Book Live lanzados en 2011. Recientemente, se han registrado múltiples ataques a estos NAS, en los que es posible eliminar por completo todos los archivos que estén almacenados en ellos.

Aparentemente, los atacantes están explotando una vulnerabilidad que data del 2018, descubierta por los investigadores Paulos Yibelo y Daniel Eshetu, que permite ejecutar —con acceso root—, código de forma remota, gracias a una interfaz de configuración que es accesible con solo conocer la dirección IP de los equipos en cuestión. Claro está, el problema es bastante grave, especialmente en aquellas unidades expuestas a internet, ya que no es posible mitigar el problema de momento.

¿Cómo se descubrió el problema?

Varios usuarios se dieron cuenta del incidente, ya que de la nada, sus My Book Live estaban completamente vacíos. Para complicar más las cosas, al tratar de iniciar sesión a través de la plataforma web, la contraseña estaba marcada como incorrecta, por lo que tampoco tenían acceso pleno a la unidad. En una buena parte de casos, estos reportes se vieron reflejados en el foro de WD.

Pantalla de inicio de sesión de un WD My Book Live luego del problema
Pantalla de inicio de sesión de un WD My Book Live luego del problema

Luego de comparar varios logs en el foro oficial de Western Digital, los propietarios de dichas unidades se percataron de que todas cumplían con el mismo patrón:

Jun 23 15:14:05 MyBookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 MyBookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 MyBookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 MyBookLive _: pkg: wd-nas
Jun 23 16:02:30 MyBookLive _: pkg: networking-general
Jun 23 16:02:30 MyBookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 MyBookLive _: pkg: date-time
Jun 23 16:02:31 MyBookLive _: pkg: alerts
Jun 23 16:02:31 MyBookLive logger: hostname=MyBookLive
Jun 23 16:02:32 MyBookLive _: pkg: admin-rest-api

En otras palabras, se había ejecutado una restauración completa de la unidad. Obviamente, todo sucedió sin el consentimiento de los dueños, lo que llevó a una eventual pérdida de datos.

Postura de Western Digital ante el problema con sus My Book Live

A través de una publicación en su foro, y un boletín posterior, Western Digital afirma estar investigando activamente los incidentes para dar con una solución, pese a que los WD My Book Live tuvieron su última actualización en el año 2015 y por lo tanto, ya no tienen soporte oficial por parte de la marca. De momento, la única solución viable es desconectar completamente de internet las unidades afectadas, para proteger los datos almacenados en el NAS.

En caso de tener un WD My Book Live en cualquier versión, desde Pisapapeles también recomendamos respaldar por completo toda la información guardada. No solo es una buena práctica el tener un backup en caso de incidentes, sino que en esta ocasión, sería una medida preventiva por si llegamos a ser víctimas de estos ataques.

Actualización

A través del boletín emitido recientemente, Western Digital ha indicado que estará ofreciendo servicios de recuperación de datos a los usuarios afectados, y que estarán disponibles a partir de los primeros días de julio. Además, WD lanzará un programa para canjear los viejos productos por dispositivos más modernos, a fin de prevenir otra pérdida de datos.

Más noticias
Samsung está probando carga rápida de 65W para la serie S22