您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
西部數(shù)據(jù)My Book NAS 設(shè)備在全球范圍內(nèi)被遠程擦除
近日,全球范圍內(nèi)的西部數(shù)據(jù)My Book Live NAS 用戶發(fā)現(xiàn)他們的設(shè)備被神秘地恢復(fù)出廠設(shè)置并刪除了所有文件,他們無法通過瀏覽器或應(yīng)用程序登錄設(shè)備。
之后,西部數(shù)據(jù)(Western Digital,WD)官方發(fā)布安全公告,其已確定某些 My Book Live 和 My Book Live Duo 設(shè)備遭到了CVE-2018-18472遠程命令執(zhí)行漏洞攻擊,攻擊者觸發(fā)了恢復(fù)出廠設(shè)置,這將導(dǎo)致擦除設(shè)備上的所有數(shù)據(jù)。西部數(shù)據(jù)建議客戶斷開 My Book Live、WD My Book Live Duo與 Internet 的連接以保護設(shè)備上的數(shù)據(jù)。
WDMy Book 是一種網(wǎng)絡(luò)連接存儲(NAS)設(shè)備,看起來就像可以放在辦公桌上的小型立式書本。WD My Book Live 應(yīng)用程序允許所有者遠程訪問他們的文件并管理他們的設(shè)備。My Book Live 系列于 2010 年推向市場,其上一次固件更新是在2015年,這意味著其已有近7年未進行過安全更新。
CVE-2018-18472是西部數(shù)據(jù)MyBook Live 和 WD My Book Live Duo(存在于所有版本中)的一個遠程命令執(zhí)行(RCE)漏洞,任何知道受影響設(shè)備 IP 地址的人都可以觸發(fā)該漏洞,該漏洞的CVSS評分為9.8(嚴(yán)重),目前此漏洞的PoC已公開。
2021年6月23日該漏洞被在野利用,MyBook日志顯示設(shè)備收到了遠程命令,要求從6月23日下午 3 點左右開始執(zhí)行恢復(fù)出廠設(shè)置,一直持續(xù)到晚上。日志如下:
"I have found this inuser.log of this drive today:
Jun 23 15:14:05My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26My BookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29My BookLive _: pkg: wd-nas
Jun 23 16:02:30My BookLive _: pkg: networking-general
Jun 23 16:02:30My BookLive _: pkg: apache-php-webdav
Jun 23 16:02:31My BookLive _: pkg: date-time
Jun 23 16:02:31My BookLive _: pkg: alerts
Jun 23 16:02:31My BookLive logger: hostname=My BookLive
Jun 23 16:02:32My BookLive _: pkg: admin-rest-api
西部數(shù)據(jù)從受影響客戶那里收集的日志分析表示,攻擊者從不同國家的 IP 地址直接連接到受影響的 My Book Live 設(shè)備。這表明,受影響的設(shè)備可以從互聯(lián)網(wǎng)上直接訪問,要么通過直接連接,要么通過手動或通過UPnP自動啟用端口轉(zhuǎn)發(fā)。
此外,日志文件顯示,攻擊者在一些設(shè)備上安裝了一個名為".nttpd,1-ppc-be-t1-z "的木馬,這是一個MyBook Live和Live Duo使用的PowerPC架構(gòu)編譯的Linux ELF二進制文件。該木馬的一個樣本已被捕獲以進行進一步分析,目前已被上傳到VirusTotal。
西部數(shù)據(jù)My Book 設(shè)備通常部署在防火墻之后,并通過 My Book Live 云服務(wù)器進行通信以提供遠程訪問。一些用戶表示擔(dān)心西部數(shù)據(jù)的服務(wù)器被黑客入侵,導(dǎo)致攻擊者向連接到該服務(wù)的所有設(shè)備推送遠程恢復(fù)出廠設(shè)置命令。
針對此問題,西部數(shù)據(jù)表示對這一事件的調(diào)查沒有發(fā)現(xiàn)任何證據(jù)表明西部數(shù)據(jù)的云服務(wù)、固件更新服務(wù)器或客戶憑證被泄露。由于My Book Live設(shè)備可以通過端口轉(zhuǎn)發(fā)直接暴露在互聯(lián)網(wǎng)上,攻擊者可能能夠通過端口掃描發(fā)現(xiàn)有漏洞的設(shè)備,因此強烈建議相關(guān)用戶斷開 My Book Live 和 My Book Live Duo 與互聯(lián)網(wǎng)的連接。
但據(jù)表示,相關(guān)用戶沒有收到贖金票據(jù)或受到其它威脅,這意味可能只是具有破壞性的攻擊。并且一些受此攻擊影響的用戶表示使用PhotoRec文件恢復(fù)工具成功恢復(fù)了他們的一些文件。
西部數(shù)據(jù)表示暫時還不清楚為什么攻擊者觸發(fā)了恢復(fù)出廠設(shè)置,但該公司正在調(diào)查受影響設(shè)備的樣本,并正在調(diào)查數(shù)據(jù)恢復(fù)工具的有效性。此外,針對客戶擔(dān)心當(dāng)前的My Cloud OS 5 和 My Cloud Home 系列設(shè)備是否受到影響,西部數(shù)據(jù)官方表示這些設(shè)備使用更新的安全架構(gòu),因此不受此次攻擊中使用的漏洞的影響,并建議相關(guān)的 My Cloud OS 3 用戶升級到 OS 5以進行設(shè)備安全更新。
類似的安全事件還有很多。2019年,聯(lián)想為其 Iomega 品牌的存儲設(shè)備發(fā)布了固件補丁,以修復(fù)可能導(dǎo)致敏感信息泄漏的安全漏洞。去年,美國和英國當(dāng)局警告針對QNAP硬盤的數(shù)據(jù)竊取惡意軟件的大規(guī)模感染。該攻擊被稱為Qsnatch,大約有62,000臺設(shè)備受到影響。4月,臺灣存儲巨頭QNAP敦促客戶更新QNAP NAS,以避免Qlocker和eCh0raix這些有針對性的勒索軟件。
來源:維他命安全