6月24日,全球WDMyBookLive和WDMyBookLiveDUO用户突然发现自己的文件全部被神秘删除,并且无法登录通过浏览器或应用程序连接到设备。WDMyBook是一种网络附加存储设备,通常部署在防火墙或路由器后面,WDMyBookLive应用程序的用户可以远程访问他们的文件和管理他们的设备。密码不再有效来源:WD论坛MyBookLive设备执行恢复出厂设置命令越来越多的用户确认他们的设备遇到同样的问题,其中一位报告在驱动器的user.log中发现:Jun2315:14:05MyBookLivefactoryRestore.sh:beginscript:Jun2315:14:05MyBookLiveshutdown[24582]:shutdownforsystemrebootJun2316:02:26MyBookLiveS15mountDataVolume.sh:beginscript:startJun2316:02:29MyBookLive_:pkg:wd-nas6月23日16:02:30MyBookLive_:pkg:networking-general6月23日16:02:30MyBookLive_:pkg:apache-php-webdav6月23日16:02:31MyBookLive_:pkg:date-timeJun2316:02:31MyBookLive_:pkg:alertsJun2316:02:31MyBookLivelogger:hostname=MyBookLiveJun2316:02:32MyBookLive_:pkg:admin-rest-api一些用户表示他们使用PhotoRec文件恢复工具成功恢复了一些文件,但不幸的是大多数用户没有找回他们的文件。黑客利用未修补漏洞触发设备出厂重置连接到Internet的MyBookLive和MyBookLiveDuo设备中存在远程代码执行漏洞。黑客利用该漏洞触发大量设备恢复出厂设置,导致用户数据被删除。不过幸运的是,没有发现西部数据的云服务、固件更新服务器或客户凭证遭到破坏的证据。根据WesternDigital对收到的受影响用户的日志文件的审查,发现黑客从不同国家的IP地址直接连接到受影响的MyBookLive设备。这表明受影响的设备可以通过直接连接或通过UPnP手动或自动启用端口转发直接从Internet访问。此外,日志文件显示,在某些设备上,黑客安装了一个名为“.nttpd,1-ppc-be-t1-z”的木马,它是为MyBookLive和LiveDuoLinuxELF二进制文件使用的PowerPC架构编译的.该木马的样本已上传至VirusTotal并正在进行进一步分析。目前尚不清楚黑客为何触发恢复出厂设置。如果黑客只是简单地删除了设备文件,那么这种行为就会很奇怪,因为没有受害者收到赎金通知或其他威胁,这表明这次攻击纯粹是破坏活动。性行为。WesternDigital正在调查受影响设备的样本,以弄清黑客真正想要什么。此外,一些用户表示,数据恢复工具或许能够从受影响的设备中恢复数据,西部数据目前正在调查这些工具是否有效。断开设备与网络的连接可防止数据被删除。WDMyBookLive设备在2015年收到了最后一次固件更新。从那时起,只披露了一个名为CVE-2018-18472的远程代码执行漏洞和一个公开的概念验证漏洞。黑客很可能在互联网上对易受攻击的设备进行了大规模扫描,并利用此漏洞发出了恢复出厂设置的命令。建议用户断开WDMyBookLiveNAS设备与互联网的连接,以保护设备上的数据。参考来源:bleepingcomputer
