WesternDigital(WD)MyBookNAS全球用户发现他们的设备被神秘擦除(恢复出厂设置并删除所有文件)。WDMyBook是一种网络连接存储设备,它非常小,看起来就像一本书放在桌子上。WDMyBookLive应用程序允许用户远程访问他们的文件并管理他们的NAS设备,即使NAS设备位于防火墙或路由器之后。上周,全球WDMyBook用户突然发现自己的所有文件都被神秘删除,无法再通过浏览器或应用程序登录设备。当他们尝试通过网络仪表板登录时,设备显示他们的密码“无效”。“我有一个WDMyBooklive连接到我的家庭LAN并且已经使用了多年。我刚刚发现它上面的所有数据不知何故今天都不见了,目录在那里但文件不见了。在我的2T卷之前本来几乎是满的,现在几乎是空盘,更奇怪的是,当我尝试登录控制UI进行诊断时,我只能使用'用户密码'的输入框进入这个登录页面。“WesternDigital的WDMyBook用户在社区论坛上说。MyBook设备收到神秘的远程命令以恢复出厂设置越来越多的MyBook用户确认他们的设备遇到了同样的问题。MyBook日志显示,所有设备都收到了一条远程命令,从昨天下午3点左右开始执行恢复出厂设置,一直持续到晚上。与通常连接到互联网并容易受到QLocker勒索软件等攻击的QNAP设备不同,WesternDigitalMyBook设备位于防火墙后面,并通过MyBookLive云服务器进行通信以提供远程访问。远程代码执行漏洞引起了一些用户的担忧,即西部数据的服务器已被黑客入侵,将远程出厂重置命令推送到连接到该服务的所有设备。如果黑客正在世界各地“清空”MyBook设备,那么奇怪的是,没有人报告赎金要求或其他威胁,这意味着黑客攻击是一场纯粹的破坏性活动。一些受此攻击影响的用户报告说使用PhotoRec文件恢复工具成功恢复了他们的一些文件,但其他用户就没那么幸运了。在其最新公告中,WesternDigital确认恶意软件是数据擦除的原因:“WesternDigital已确定某些MyBookLive设备受到恶意软件的危害。在某些情况下,这种攻击导致恢复出厂设置,这似乎删除了设备上的所有数据。”对于WDMyBookLookNAS设备的用户,WesternDigital强烈建议断开设备与互联网的连接。“目前,我们建议您断开MyBookLive和MyBookLiveDuo与互联网的连接,以保护设备上的数据,”西部数据在一份声明中表示。MyBookLive设备收到的最后一次固件更新是在2015年。此后,一个编号为CVE-2018-18472的远程代码执行漏洞与公开的概念验证漏洞一起被披露。攻击者对互联网进行了大规模扫描以查找易受攻击的设备,并利用该漏洞发出恢复出厂设置的命令。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
