Beberapa pengguna WD My Book Live and My Book Live Duo mengatakan bahwa data mereka telah dihapus oleh para peretas. Hal ini sangat mengejutkan dikarenakan serangan ini terjadi dengan sangat cepat.
Para peneliti keamanan pun mengatakan bahwa hal ini terjadi dikarenakan beberapa hal. Namun salah satu teori yang paling terkenal adalah adanya celah keamanan di driver CVE-2021-35941 serta celah kerentanan lain yang tidak terdokumentasi dalam file bernama system_factory_restore.
Menanggapi hal tersebut, Western Digital telah memberikan penjelasan mereka. Mereka pun mengakui adanya serangan peretasan kepada para pengguna My Book Live dan My Book Live Duo yang terhubung ke Internet.
WD pun mengaku siap untuk membantu pelanggan yang kehilangan data akibat serangan ini. Mereka akan menyediakan layanan pemulihan data, yang akan tersedia mulai bulan Juli mendatang.
Tak ketinggalan, WD pun juga sudah melakukan penyelidikan terkait serangan ini. Mereka pun telah menentukan masalah ini sebagai kerentanan reset pabrik yang tidak diautentikasi telah ditetapkan oleh CVE-2021-35941.
Refactor memusatkan logika otentikasi ke dalam satu file, yang ada pada perangkat sebagai includes/component_config.php dan berisi jenis otentikasi yang diperlukan oleh setiap titik akhir.
Dalam refactor ini, logika autentikasi di system_factory_restore.php dinonaktifkan dengan benar, tetapi jenis autentikasi yang sesuai ADMIN_AUTH_LAN_ALL tidak ditambahkan ke component_config.php, yang mengakibatkan kerentanan ini.
Refactor yang sama menghapus logika otentikasi dari file lain dan dengan benar menambahkan jenis otentikasi yang sesuai ke component_config.php.
WD juga mengatakan telah meninjau file log yang mereka terima dari pelanggan yang terpengaruh untuk memahami dan mengekstraksi serangan tersebut. File log yang kami tinjau menunjukkan bahwa penyerang terhubung langsung ke perangkat My Book Live yang terpengaruh dari berbagai alamat IP di berbagai negara.
Penyelidikan mereka juga menunjukkan bahwa dalam beberapa kasus, penyerang yang sama mengeksploitasi kedua kerentanan pada perangkat, sebagaimana dibuktikan oleh IP sumber.
Kerentanan pertama dieksploitasi untuk menginstal biner berbahaya pada perangkat, dan kerentanan kedua kemudian dieksploitasi untuk mengatur ulang perangkat.
Pada beberapa perangkat, penyerang memasang trojan dengan file bernama .nttpd,1-ppc-be-t1-z, yang merupakan biner Linux ELF yang dikompilasi untuk arsitektur PowerPC yang digunakan oleh My Book Live dan Live Duo.
Kedepannya, mereka akan memastikan untuk memberikan keamanan menyeluruh bagi para pengguna perangkat mereka.