全球西部数据(WD)My Book NAS用户发现他们的设备被神秘地擦除了(所有文件都被执行并恢复了出厂设置)。
WD My Book它是一种网络连接的存储设备,体积小,看起来像一本站在桌子上的书。WD My Book Live应用程序允许用户远程访问他们的文件并管理他们NAS即使是设备NAS设备位于防火墙或路由器后面。
上周,全球WD My Book用户突然发现他们的所有文件都被神秘地删除了,他们无法通过浏览器或应用程序登录设备。
当他们试图通过时Web当仪表板登录时,设备声明其密码“无效”。
“我有一台WD My Book实时连接到我的家庭局域网,并正常使用多年。我只是发现它上面的所有数据今天都消失了,目录在那里,但文件消失了。我以前的2T卷几乎满了,但现在几乎是空盘。更奇怪的是,当我试图登录控制时,UI诊断的时候只能用‘用户密码’输入框进入此登录页面。”WD My Book用户在西部数据社区论坛上说。
My Book设备收到恢复出厂设置的神秘远程命令
越来越多的My Book用户确认他们的设备也有同样的问题。MyBook日志显示,所有这些设备都收到了远程命令,要求从昨天下午3点左右恢复出厂设置,一直持续到晚上。
通常与互联网连接并接收QLocker Ransomware等攻击的QNAP西部数据设备不同My Book设备设置在防火墙后面,并通过My Book Live提供远程访问的云服务器通信。
远程代码执行漏洞
一些用户表示担心西部数据服务器被黑客入侵,并将远程恢复出厂设置命令推送到连接到服务的所有设备。
如果是黑客在“清空”全球的My Book设备,奇怪的是,没有人报告赎金勒索或其他威胁,这意味着黑客攻击是一个纯粹的破坏性活动。
一些受此攻击影响的用户报告说使用PhotoRec文件恢复工具成功地恢复了一些文件,但其他用户并不幸运。
在最新公告中,西部数据确认恶意软件是数据擦除的原因:
“Western Digital已确定某些My Book Live该设备受到恶意软件的攻击。在某些情况下,这种攻击会导致出厂设置的恢复,似乎会擦除设备上的所有数据。”
对于WD My Book Look NAS对于设备用户,西部数据强烈建议断开设备与互联网的连接。
“此时,我们建议您断开My Book Live和My Book Live Duo连接到互联网,以保护您在设备上的数据。”西部数据在公告中表示。
据悉,My Book Live2015年,设备收到的最后一次固件更新。
之后,一个编号CVE-2018-18472远程代码执行漏洞与公共概念验证漏洞一起披露。攻击者对互联网进行了大规模扫描,以找到易受攻击的设备,并发出了恢复工厂设置的命令。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章