西部数据:黑客利用远程漏洞擦除MyBook用户数据,正在研究潜在恢复方案西部数据在6月24日发布的官方公告中表示,MyBookLive和MyBookLiveDuo网络附加存储(NAS)设备可能被远程通过恢复出厂设置擦除,使用户面临丢失所有存储数据的风险。“WesternDigital已确定某些MyBookLive和MyBookLiveDuo设备受到远程命令执行漏洞的影响。在某些情况下,攻击者触发了恢复出厂设置,似乎是为了删除设备上的所有数据”。被利用的漏洞目前被追踪为CVE-2018-18472,这是一个CVSS严重等级为9.8的根远程命令执行(RCE)漏洞。攻击者能够以root身份远程操作,他们可以触发重置并擦除这些便携式存储设备上的所有内容,这些设备于2010年首次亮相,并于2015年收到最后一次固件更新。当产品进入生命周期结束时,它们通常不会有权获得新的安全更新。正如BleepingComputer首次报道的那样,6月24日,论坛用户开始通过WD论坛和Reddit询问他们突然丢失数据的情况。一位论坛用户认为他“完全搞砸了”,因为他们的消息被删除了。另一位用户评论说:“我愿意付出毕生积蓄来获得我的博士论文资料、我孩子和死去亲人的新生儿照片、我写但从未发表过的旅行博客,以及我最后7个月的所有合同工作。我什至不能想象一下这会对我的职业生涯造成什么影响,因为我丢失了所有项目数据和文件……”。在撰写本文时,论坛用户正在交换潜在的恢复方法和想法,并取得了不同程度的成功。WesternDigital表示:“我们正在审查从受影响的客户那里收到的日志文件,以进一步描述攻击和访问机制的特征。”到目前为止,日志文件显示MyBookLive设备通过直接在线连接或端口转发在全球范围内遭到破坏。WizCase之前已经发布了该漏洞的概念验证(PoC)代码。在某些情况下,攻击者还安装了特洛伊木马,其样本已上传到VirusTotal。据信,MyBookLive设备是参与此次广泛攻击的唯一产品。WesternDigital的云服务、固件更新系统和客户信息据信未被泄露。WesternDigital敦促客户尽快让他们的设备脱离互联网。“我们知道客户的数据非常重要,”西部数据表示。“我们还不明白攻击者为什么会触发恢复出厂设置;但是,我们已经获得了受影响设备的样本,并正在进一步调查。”该公司仍在调查受影响客户的潜在恢复选项。
