您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
西部數(shù)據(jù)My Book NAS 設備在全球范圍內(nèi)被遠程擦除
近日,全球范圍內(nèi)的西部數(shù)據(jù)My Book Live NAS 用戶發(fā)現(xiàn)他們的設備被神秘地恢復出廠設置并刪除了所有文件,他們無法通過瀏覽器或應用程序登錄設備。
之后,西部數(shù)據(jù)(Western Digital,WD)官方發(fā)布安全公告,其已確定某些 My Book Live 和 My Book Live Duo 設備遭到了CVE-2018-18472遠程命令執(zhí)行漏洞攻擊,攻擊者觸發(fā)了恢復出廠設置,這將導致擦除設備上的所有數(shù)據(jù)。西部數(shù)據(jù)建議客戶斷開 My Book Live、WD My Book Live Duo與 Internet 的連接以保護設備上的數(shù)據(jù)。
WDMy Book 是一種網(wǎng)絡連接存儲(NAS)設備,看起來就像可以放在辦公桌上的小型立式書本。WD My Book Live 應用程序允許所有者遠程訪問他們的文件并管理他們的設備。My Book Live 系列于 2010 年推向市場,其上一次固件更新是在2015年,這意味著其已有近7年未進行過安全更新。
CVE-2018-18472是西部數(shù)據(jù)MyBook Live 和 WD My Book Live Duo(存在于所有版本中)的一個遠程命令執(zhí)行(RCE)漏洞,任何知道受影響設備 IP 地址的人都可以觸發(fā)該漏洞,該漏洞的CVSS評分為9.8(嚴重),目前此漏洞的PoC已公開。
2021年6月23日該漏洞被在野利用,MyBook日志顯示設備收到了遠程命令,要求從6月23日下午 3 點左右開始執(zhí)行恢復出廠設置,一直持續(xù)到晚上。日志如下:
"I have found this inuser.log of this drive today:
Jun 23 15:14:05My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26My BookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29My BookLive _: pkg: wd-nas
Jun 23 16:02:30My BookLive _: pkg: networking-general
Jun 23 16:02:30My BookLive _: pkg: apache-php-webdav
Jun 23 16:02:31My BookLive _: pkg: date-time
Jun 23 16:02:31My BookLive _: pkg: alerts
Jun 23 16:02:31My BookLive logger: hostname=My BookLive
Jun 23 16:02:32My BookLive _: pkg: admin-rest-api
西部數(shù)據(jù)從受影響客戶那里收集的日志分析表示,攻擊者從不同國家的 IP 地址直接連接到受影響的 My Book Live 設備。這表明,受影響的設備可以從互聯(lián)網(wǎng)上直接訪問,要么通過直接連接,要么通過手動或通過UPnP自動啟用端口轉(zhuǎn)發(fā)。
此外,日志文件顯示,攻擊者在一些設備上安裝了一個名為".nttpd,1-ppc-be-t1-z "的木馬,這是一個MyBook Live和Live Duo使用的PowerPC架構編譯的Linux ELF二進制文件。該木馬的一個樣本已被捕獲以進行進一步分析,目前已被上傳到VirusTotal。
西部數(shù)據(jù)My Book 設備通常部署在防火墻之后,并通過 My Book Live 云服務器進行通信以提供遠程訪問。一些用戶表示擔心西部數(shù)據(jù)的服務器被黑客入侵,導致攻擊者向連接到該服務的所有設備推送遠程恢復出廠設置命令。
針對此問題,西部數(shù)據(jù)表示對這一事件的調(diào)查沒有發(fā)現(xiàn)任何證據(jù)表明西部數(shù)據(jù)的云服務、固件更新服務器或客戶憑證被泄露。由于My Book Live設備可以通過端口轉(zhuǎn)發(fā)直接暴露在互聯(lián)網(wǎng)上,攻擊者可能能夠通過端口掃描發(fā)現(xiàn)有漏洞的設備,因此強烈建議相關用戶斷開 My Book Live 和 My Book Live Duo 與互聯(lián)網(wǎng)的連接。
但據(jù)表示,相關用戶沒有收到贖金票據(jù)或受到其它威脅,這意味可能只是具有破壞性的攻擊。并且一些受此攻擊影響的用戶表示使用PhotoRec文件恢復工具成功恢復了他們的一些文件。
西部數(shù)據(jù)表示暫時還不清楚為什么攻擊者觸發(fā)了恢復出廠設置,但該公司正在調(diào)查受影響設備的樣本,并正在調(diào)查數(shù)據(jù)恢復工具的有效性。此外,針對客戶擔心當前的My Cloud OS 5 和 My Cloud Home 系列設備是否受到影響,西部數(shù)據(jù)官方表示這些設備使用更新的安全架構,因此不受此次攻擊中使用的漏洞的影響,并建議相關的 My Cloud OS 3 用戶升級到 OS 5以進行設備安全更新。
類似的安全事件還有很多。2019年,聯(lián)想為其 Iomega 品牌的存儲設備發(fā)布了固件補丁,以修復可能導致敏感信息泄漏的安全漏洞。去年,美國和英國當局警告針對QNAP硬盤的數(shù)據(jù)竊取惡意軟件的大規(guī)模感染。該攻擊被稱為Qsnatch,大約有62,000臺設備受到影響。4月,臺灣存儲巨頭QNAP敦促客戶更新QNAP NAS,以避免Qlocker和eCh0raix這些有針對性的勒索軟件。
來源:維他命安全