6月24日,世界各地的WD My Book Live和WD My Book Live DUO用户突然发现,他们所有的文件都被神秘地删除了,并且也不能通过浏览器或应用程序登录设备。
WD My Book是一种网络连接的存储设备,一般情况下会部署在防火墙或路由器后面,WD My Book Live应用程序的用户可以访问他们的文件并远程管理他们的设备。
My Book Live设备执行恢复出厂设置命令
越来越多的用户确认他们的设备遭遇了同样问题,其中一个用户表示在驱动器的user.log中发现了:
- Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
- Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
- Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
- Jun 23 16:02:29 My BookLive _: pkg: wd-nas
- Jun 23 16:02:30 My BookLive _: pkg: networking-general
- Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
- Jun 23 16:02:31 My BookLive _: pkg: date-time
- Jun 23 16:02:31 My BookLive _: pkg: alerts
- Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
- Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api
一些用户表示他们使用PhotoRec文件恢复工具成功恢复了一些文件,但不幸的是大多数用户并没有找回他们的文件。
未修补的漏洞被黑客利用触发设备出厂重置
据悉,连接到互联网的My Book Live和My Book Live Duo设备存在一个远程代码执行漏洞。黑客利用漏洞后触发大量设备的出厂重置,从而导致用户数据被删。不过幸运的是,尚未发现任何证据表明西部数据的云服务、固件更新服务器或客户凭证被泄露。
根据西部数据对受影响用户处收到的日志文件的审查,发现黑客是从不同国家的IP地址直接连接到受影响的My Book Live设备。这表明受影响的设备可以从互联网上直接访问,要么通过直接连接,要么通过手动或UPnP自动启用端口转发。
此外,日志文件显示,在一些设备上,黑客安装了一个名为“.nttpd,1-ppc-be-t1-z ”的木马,这是一个为My Book Live和Live Duo使用的PowerPC架构编译的Linux ELF二进制文件。该木马的一个样本已被上传到VirusTotal,正在进一步分析。
现在还不清楚黑客为什么会触发出厂重置,如果黑客只是删除了设备文件,那么该行为就很蹊跷,因为没有受害者收到勒索赎金票据或其他威胁提示,这说明这次攻击只是单纯的破坏性行为。
西部数据正在调查一个受影响设备的样本,以此来弄清黑客的真实目的。此外,一些用户表明数据恢复工具可能能够恢复受影响设备的数据,针对这一点西部数据目前也正在调查工具是否有效。
将设备断网可保护数据不被删除
WD My Book Live设备在2015年进行了最后一次固件更新。自那以后,只披露了一个名为CVE-2018-18472的远程代码执行漏洞和一个公开的概念证明漏洞。此次攻击很可能是黑客是在互联网上对易受攻击的设备进行了大规模扫描,并利用这一漏洞发出了工厂重置命令。建议用户将WD My Book Live NAS设备与互联网断开连接,以保护设备上的数据。
参考来源:bleepingcomputer