近日，全球范圍內(nèi)的西部數(shù)據(jù)My Book Live NAS 用戶發(fā)現(xiàn)他們的設(shè)備被神秘地恢復(fù)出廠設(shè)置并刪除了所有文件，他們無(wú)法通過(guò)瀏覽器或應(yīng)用程序登錄設(shè)備。

之后，西部數(shù)據(jù)(Western Digital，WD)官方發(fā)布安全公告，其已確定某些 My Book Live 和 My Book Live Duo 設(shè)備遭到了CVE-2018-18472遠(yuǎn)程命令執(zhí)行漏洞攻擊，攻擊者觸發(fā)了恢復(fù)出廠設(shè)置，這將導(dǎo)致擦除設(shè)備上的所有數(shù)據(jù)。西部數(shù)據(jù)建議客戶斷開(kāi) My Book Live、WD My Book Live Duo與 Internet 的連接以保護(hù)設(shè)備上的數(shù)據(jù)。

WDMy Book 是一種網(wǎng)絡(luò)連接存儲(chǔ)(NAS)設(shè)備，看起來(lái)就像可以放在辦公桌上的小型立式書(shū)本。WD My Book Live 應(yīng)用程序允許所有者遠(yuǎn)程訪問(wèn)他們的文件并管理他們的設(shè)備。My Book Live 系列于 2010 年推向市場(chǎng)，其上一次固件更新是在2015年，這意味著其已有近7年未進(jìn)行過(guò)安全更新。

CVE-2018-18472是西部數(shù)據(jù)MyBook Live 和 WD My Book Live Duo(存在于所有版本中)的一個(gè)遠(yuǎn)程命令執(zhí)行(RCE)漏洞，任何知道受影響設(shè)備 IP 地址的人都可以觸發(fā)該漏洞，該漏洞的CVSS評(píng)分為9.8(嚴(yán)重)，目前此漏洞的PoC已公開(kāi)。

2021年6月23日該漏洞被在野利用，MyBook日志顯示設(shè)備收到了遠(yuǎn)程命令，要求從6月23日下午 3 點(diǎn)左右開(kāi)始執(zhí)行恢復(fù)出廠設(shè)置，一直持續(xù)到晚上。日志如下：

"I have found this inuser.log of this drive today:

Jun 23 15:14:05My BookLive factoryRestore.sh: begin script:

Jun 23 15:14:05My BookLive shutdown[24582]: shutting down for system reboot

Jun 23 16:02:26My BookLive S15mountDataVolume.sh: begin script: start

Jun 23 16:02:29My BookLive _: pkg: wd-nas

Jun 23 16:02:30My BookLive _: pkg: networking-general

Jun 23 16:02:30My BookLive _: pkg: apache-php-webdav

Jun 23 16:02:31My BookLive _: pkg: date-time

Jun 23 16:02:31My BookLive _: pkg: alerts

Jun 23 16:02:31My BookLive logger: hostname=My BookLive

Jun 23 16:02:32My BookLive _: pkg: admin-rest-api

西部數(shù)據(jù)從受影響客戶那里收集的日志分析表示，攻擊者從不同國(guó)家的 IP 地址直接連接到受影響的 My Book Live 設(shè)備。這表明，受影響的設(shè)備可以從互聯(lián)網(wǎng)上直接訪問(wèn)，要么通過(guò)直接連接，要么通過(guò)手動(dòng)或通過(guò)UPnP自動(dòng)啟用端口轉(zhuǎn)發(fā)。

此外，日志文件顯示，攻擊者在一些設(shè)備上安裝了一個(gè)名為".nttpd,1-ppc-be-t1-z "的木馬，這是一個(gè)MyBook Live和Live Duo使用的PowerPC架構(gòu)編譯的Linux ELF二進(jìn)制文件。該木馬的一個(gè)樣本已被捕獲以進(jìn)行進(jìn)一步分析，目前已被上傳到VirusTotal。

西部數(shù)據(jù)My Book 設(shè)備通常部署在防火墻之后，并通過(guò) My Book Live 云服務(wù)器進(jìn)行通信以提供遠(yuǎn)程訪問(wèn)。一些用戶表示擔(dān)心西部數(shù)據(jù)的服務(wù)器被黑客入侵，導(dǎo)致攻擊者向連接到該服務(wù)的所有設(shè)備推送遠(yuǎn)程恢復(fù)出廠設(shè)置命令。

針對(duì)此問(wèn)題，西部數(shù)據(jù)表示對(duì)這一事件的調(diào)查沒(méi)有發(fā)現(xiàn)任何證據(jù)表明西部數(shù)據(jù)的云服務(wù)、固件更新服務(wù)器或客戶憑證被泄露。由于My Book Live設(shè)備可以通過(guò)端口轉(zhuǎn)發(fā)直接暴露在互聯(lián)網(wǎng)上，攻擊者可能能夠通過(guò)端口掃描發(fā)現(xiàn)有漏洞的設(shè)備，因此強(qiáng)烈建議相關(guān)用戶斷開(kāi) My Book Live 和 My Book Live Duo 與互聯(lián)網(wǎng)的連接。

但據(jù)表示，相關(guān)用戶沒(méi)有收到贖金票據(jù)或受到其它威脅，這意味可能只是具有破壞性的攻擊。并且一些受此攻擊影響的用戶表示使用PhotoRec文件恢復(fù)工具成功恢復(fù)了他們的一些文件。

西部數(shù)據(jù)表示暫時(shí)還不清楚為什么攻擊者觸發(fā)了恢復(fù)出廠設(shè)置，但該公司正在調(diào)查受影響設(shè)備的樣本，并正在調(diào)查數(shù)據(jù)恢復(fù)工具的有效性。此外，針對(duì)客戶擔(dān)心當(dāng)前的My Cloud OS 5 和 My Cloud Home 系列設(shè)備是否受到影響，西部數(shù)據(jù)官方表示這些設(shè)備使用更新的安全架構(gòu)，因此不受此次攻擊中使用的漏洞的影響，并建議相關(guān)的 My Cloud OS 3 用戶升級(jí)到 OS 5以進(jìn)行設(shè)備安全更新。

類似的安全事件還有很多。2019年，聯(lián)想為其 Iomega 品牌的存儲(chǔ)設(shè)備發(fā)布了固件補(bǔ)丁，以修復(fù)可能導(dǎo)致敏感信息泄漏的安全漏洞。去年，美國(guó)和英國(guó)當(dāng)局警告針對(duì)QNAP硬盤的數(shù)據(jù)竊取惡意軟件的大規(guī)模感染。該攻擊被稱為Qsnatch，大約有62,000臺(tái)設(shè)備受到影響。4月，臺(tái)灣存儲(chǔ)巨頭QNAP敦促客戶更新QNAP NAS，以避免Qlocker和eCh0raix這些有針對(duì)性的勒索軟件。

來(lái)源：維他命安全