/ 中存储网

西数My Book Live 系列NAS存储设备疑被黑客攻陷,官方建议用户断网

2021-06-28 08:54:14 来源:中存储网

如果您正在阅读本文并且您拥有 WD My Book 或 WD My Book Live Duo,那么您可能想要查看它并暂时断开它与互联网的连接。

从6月25日开始,多个用户报告说,在尝试访问他们的 WD My Book NAS 驱动器时,他们被禁止使用“无效密码”,并且移动应用程序已停止连接。经过进一步调查,他们发现他们的系统已经完全格式化(从目录、卷和池到某些情况下的所有内容)并且他们的所有数据现在都丢失了。

国外媒体消息,西部数据建议其 My Book Live 存储驱动器的所有者将其与互联网断开连接,直至另行通知,此前有报道称某些设备已被恶意软件入侵并清除干净。WD官方表示,恶意软件导致这次事件,并建议用户先中断相关产品的网络连接,以确保资料安全。

西数My Book Live 系列NAS存储设备疑被黑客攻陷,官方建议用户断网

WD My Book Live 是该公司的网络附加存储设备,采用书本式设计,可以直立在桌子上。该驱动器通常通过 USB 连接到计算机,并通过以太网连接到本地网络。同时,WD My Book Live 应用程序允许用户通过西部数据的云服务器远程访问他们存储的文件。

国外媒体称,My Book Live 和 Live Duo 设备所有者周四开始充斥西部数据的支持论坛,报告称他们的所有文件都被神秘删除,并且他们无法再通过官方应用程序或浏览器访问该设备。

据第一位用户回应,他的My Book Live NAS系统使用好多年都很正常,但今天他突然发现所有存储资料都不见了,原先几乎塞满2TB的硬盘,现在空空如也。

接着大量用户也跟着回应发生相似情况,NAS系统强制执行“还原出厂默认值”指令,有些用户甚至根本不在家,但家中NAS就这样惨遭清空。

WD随即公告,证实目前有部分My Book Live设备遭恶意软件攻击,目前建议用户将产品断线,以保护资料安全,等候他们调查完成后,将发布固件更新解决问题。

西数My Book Live 系列NAS存储设备疑被黑客攻陷,官方建议用户断网

官方公告翻译文本:

Western Digital 已确定某些 My Book Live 和 My Book Live Duo 设备正在通过利用远程命令执行漏洞受到攻击。在某些情况下,攻击者触发了恢复出厂设置,似乎会擦除设备上的所有数据。

我们正在审查从受影响客户那里收到的日志文件,以进一步描述攻击和访问机制的特征。我们查看的日志文件显示,攻击者从不同国家/地区的各种 IP 地址直接连接到受影响的 My Book Live 设备。这表明受影响的设备可以通过直接连接或通过手动或通过 UPnP 自动启用的端口转发从 Internet 直接访问。

此外,日志文件显示,攻击者在某些设备上安装了一个木马,其中包含名为“.nttpd,1-ppc-be-t1-z”的文件,该文件是为 My 使用的 PowerPC 架构编译的 Linux ELF 二进制文件。预订 Live 和 Live Duo。该木马的样本已被捕获以供进一步分析,并将其上传到 VirusTotal。

我们对此事件的调查没有发现任何证据表明 Western Digital 云服务、固件更新服务器或客户凭据遭到破坏。由于 My Book Live 设备可以通过端口转发直接暴露在互联网上,攻击者可以通过端口扫描发现易受攻击的设备。

我们了解客户的数据非常重要。我们还不明白为什么攻击者触发了恢复出厂设置;但是,我们已经获得了受影响设备的样本,并正在进一步调查。此外,一些客户报告说数据恢复工具可能能够从受影响的设备恢复数据,我们目前正在调查这些工具的有效性。

My Book Live 系列于 2010 年推向市场,这些设备于 2015 年获得最终固件更新。

咨询摘要

目前,我们建议您按照我们知识库中的这些说明断开 My Book Live 和 My Book Live Duo 与 Internet 的连接,以保护设备上的数据

我们听到客户担心当前的 My Cloud OS 5 和 My Cloud Home 系列设备可能会受到影响。这些设备使用更新的安全架构,不受此次攻击中使用的漏洞的影响。我们建议符合条件的 My Cloud OS 3 用户升级到 OS 5以继续接收设备的安全更新

CVE 编号: CVE-2018-18472

许多受害网友正在询问原厂,是否提供资料救援服务弥补损失,但WD官方尚未回应。