[[407891]]

6月24日，世界各地的WD My Book Live和WD My Book Live DUO用戶突然發(fā)現(xiàn)，他們所有的文件都被神秘地刪除了，并且也不能通過瀏覽器或應用程序登錄設備。

WD My Book是一種網(wǎng)絡連接的存儲設備，一般情況下會部署在防火墻或路由器后面，WD My Book Live應用程序的用戶可以訪問他們的文件并遠程管理他們的設備。

My Book Live設備執(zhí)行恢復出廠設置命令

越來越多的用戶確認他們的設備遭遇了同樣問題，其中一個用戶表示在驅動器的user.log中發(fā)現(xiàn)了：

• Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
• Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
• Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
• Jun 23 16:02:29 My BookLive _: pkg: wd-nas
• Jun 23 16:02:30 My BookLive _: pkg: networking-general
• Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
• Jun 23 16:02:31 My BookLive _: pkg: date-time
• Jun 23 16:02:31 My BookLive _: pkg: alerts
• Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
• Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api

一些用戶表示他們使用PhotoRec文件恢復工具成功恢復了一些文件，但不幸的是大多數(shù)用戶并沒有找回他們的文件。

未修補的漏洞被黑客利用觸發(fā)設備出廠重置

據(jù)悉，連接到互聯(lián)網(wǎng)的My Book Live和My Book Live Duo設備存在一個遠程代碼執(zhí)行漏洞。黑客利用漏洞后觸發(fā)大量設備的出廠重置，從而導致用戶數(shù)據(jù)被刪。不過幸運的是，尚未發(fā)現(xiàn)任何證據(jù)表明西部數(shù)據(jù)的云服務、固件更新服務器或客戶憑證被泄露。

根據(jù)西部數(shù)據(jù)對受影響用戶處收到的日志文件的審查，發(fā)現(xiàn)黑客是從不同國家的IP地址直接連接到受影響的My Book Live設備。這表明受影響的設備可以從互聯(lián)網(wǎng)上直接訪問，要么通過直接連接，要么通過手動或UPnP自動啟用端口轉發(fā)。

此外，日志文件顯示，在一些設備上，黑客安裝了一個名為“.nttpd,1-ppc-be-t1-z ”的木馬，這是一個為My Book Live和Live Duo使用的PowerPC架構編譯的Linux ELF二進制文件。該木馬的一個樣本已被上傳到VirusTotal，正在進一步分析。

現(xiàn)在還不清楚黑客為什么會觸發(fā)出廠重置，如果黑客只是刪除了設備文件，那么該行為就很蹊蹺，因為沒有受害者收到勒索贖金票據(jù)或其他威脅提示，這說明這次攻擊只是單純的破壞性行為。

西部數(shù)據(jù)正在調(diào)查一個受影響設備的樣本，以此來弄清黑客的真實目的。此外，一些用戶表明數(shù)據(jù)恢復工具可能能夠恢復受影響設備的數(shù)據(jù)，針對這一點西部數(shù)據(jù)目前也正在調(diào)查工具是否有效。

將設備斷網(wǎng)可保護數(shù)據(jù)不被刪除

WD My Book Live設備在2015年進行了最后一次固件更新。自那以后，只披露了一個名為CVE-2018-18472的遠程代碼執(zhí)行漏洞和一個公開的概念證明漏洞。此次攻擊很可能是黑客是在互聯(lián)網(wǎng)上對易受攻擊的設備進行了大規(guī)模掃描，并利用這一漏洞發(fā)出了工廠重置命令。建議用戶將WD My Book Live NAS設備與互聯(lián)網(wǎng)斷開連接，以保護設備上的數(shù)據(jù)。

參考來源：bleepingcomputer