6月24日,世界各地WD My Book Live和WD My Book Live DUO用户突然发现,他们所有的文件都被神秘地删除,无法通过浏览器或应用程序登录设备。
WD My Book是一种网络连接的存储设备,一般部署在防火墙或路由器后面,WD My Book Live用户可以访问他们的文件并远程管理他们的设备。
密码不再起作用来源:WD论坛My Book Live设备执行恢复出厂设置命令
越来越多的用户确认他们的设备遇到了同样的问题,其中一个用户说他们在驱动器上user.log中发现了:
- Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
- Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
- Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
- Jun 23 16:02:29 My BookLive _: pkg: wd-nas
- Jun 23 16:02:30 My BookLive _: pkg: networking-general
- Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
- Jun 23 16:02:31 My BookLive _: pkg: date-time
- Jun 23 16:02:31 My BookLive _: pkg: alerts
- Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
- Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api
一些用户表示他们使用PhotoRec文件恢复工具成功地恢复了一些文件,但不幸的是,大多数用户没有找到他们的文件。
黑客利用触发设备重置未修复的漏洞
据报道,连接到互联网的人My Book Live和My Book Live Duo该设备存在远程代码执行漏洞。黑客在使用漏洞后触发了大量设备的工厂重置,导致用户数据被删除。幸运的是,没有发现云服务、固件更新服务器或客户凭证泄露。
根据西部数据对受影响用户收到的日志文件的审查,发现黑客来自不同国家IP地址直接连接到受影响的地址My Book Live设备。这表明受影响的设备可以直接从互联网上访问,无论是直接连接,还是手动连接UPnP端口转发自动启用。
此外,日志文件显示,黑客在一些设备上安装了一个名称“.nttpd,1-ppc-be-t1-z ”木马,这是一个My Book Live和Live Duo使用的PowerPC架构编译的Linux ELF二进制文件。木马样本已上传到VirusTotal,进一步分析。
目前还不清楚为什么黑客触发出厂重置。如果黑客只删除了设备文件,那么这种行为就很奇怪了,因为没有受害者收到勒索赎金账单或其他威胁提示,这表明攻击只是一种简单的破坏性行为。
西部数据正在调查受影响设备的样本,以找出黑客的真正目的。此外,一些用户表示,数据恢复工具可以恢复受影响设备的数据,西部数据也在调查工具是否有效。
不删除设备断网的可保护数据
WD My Book Live该设备于2015年进行了最后一次固件更新。从那以后,只披露了一个名字CVE-2018-18472远程代码执行漏洞和公开概念证明漏洞。攻击很可能是黑客在互联网上大规模扫描了易受攻击的设备,并发出了工厂重置命令。建议用户将WD My Book Live NAS为了保护设备上的数据,设备与互联网断开连接。
参考来源:bleepingcomputer