6月24日,世界各地的WD My Book Live和WD My Book Live DUO用户突然发现,他们所有的文件都被神秘地删除了,并且也不能通过浏览器或应用程序登录设备。
WD My Book是一种网络连接的存储设备,一般情况下会部署在防火墙或路由器后面,WD My Book Live应用程序的用户可以访问他们的文件并远程管理他们的设备。
密码不再起作用
来源:WD论坛
My Book Live设备执行恢复出厂设置命令
越来越多的用户确认他们的设备遭遇了同样问题,其中一个用户表示在驱动器的user.log中发现了:
Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 My BookLive _: pkg: wd-nas
Jun 23 16:02:30 My BookLive _: pkg: networking-general
Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 My BookLive _: pkg: date-time
Jun 23 16:02:31 My BookLive _: pkg: alerts
Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api
一些用户表示他们使用PhotoRec文件恢复工具成功恢复了一些文件,但不幸的是大多数用户并没有找回他们的文件。
未修补的漏洞被黑客利用触发设备出厂重置
黑客利用了CVE-2018-18472这一命令注入漏洞,西数发布的报告称这个漏洞影响的是2010年至2012年间销售的My Book Live设备,自2014后就不在销售,只在2015年进行了最后一次更新。
该漏洞可以在用户没有交互的前提下获得root远程命令权限,也就是只要知道硬盘的IP地址,不用密码登录也可以破解。根据西部数据对受影响用户处收到的日志文件的审查,发现黑客是从不同国家的IP地址直接连接到受影响的My Book Live设备。这表明受影响的设备可以从互联网上直接访问,要么通过直接连接,要么通过手动或UPnP自动启用端口转发。
现在还不清楚黑客为什么会触发出厂重置,如果黑客只是删除了设备文件,那么该行为就很蹊跷,因为没有受害者收到勒索赎金票据或其他威胁提示,这说明这次攻击只是单纯的破坏性行为。
安全公司Censys的首席技术官Derek Abdin提出了一个假设:
在黑客1号通过漏洞将设备设置为“僵尸网络”后,黑客2号这一新漏洞实行了大规模的重置和擦除。
黑客2号很可能是一位竞争者,他试图控制或是破坏黑客1号的僵尸网络。
这次入侵很可能是两名黑客恶性竞争导致的结果。
注:僵尸网络是数以千计的连接计算机,通常是受感染的计算机,可以在暗网上买卖,用于传播恶意软件或运行分布式拒绝服务(DDoS) 攻击等恶意活动。
西部数据正在调查一个受影响设备的样本,以此来弄清黑客的真实目的。此外,一些用户表明数据恢复工具可能能够恢复受影响设备的数据,针对这一点西部数据目前也正在调查工具是否有效。
此外,日志文件显示,在一些设备上,黑客安装了一个名为“.nttpd,1-ppc-be-t1-z ”的木马,这是一个为My Book Live和Live Duo使用的PowerPC架构编译的Linux ELF二进制文件。该木马的一个样本已被上传到VirusTotal,正在进一步分析。
将设备断网可保护数据不被删除
此次攻击很可能是黑客是在互联网上对易受攻击的设备进行了大规模扫描,并利用这一漏洞发出了工厂重置命令。建议用户将WD My Book Live NAS设备与互联网断开连接,以保护设备上的数据。