在遭到一系列遠(yuǎn)程攻擊之后,西部數(shù)據(jù)(WD)敦促 My Book 用戶立即斷開互聯(lián)網(wǎng)連接。在官方公告中,WD 表示 My Book Live 和 My Book Live Duo 網(wǎng)絡(luò)附加存儲(NAS)設(shè)備可能通過出廠重置被遠(yuǎn)程擦除,使用戶面臨失去所有存儲數(shù)據(jù)的風(fēng)險。
在公告中寫道:“西部數(shù)據(jù)已經(jīng)確定,一些 My Book Live 和 My Book Live Duo 設(shè)備正受到一個遠(yuǎn)程命令執(zhí)行漏洞的影響。在某些情況下,攻擊者已經(jīng)觸發(fā)了出廠重置,似乎是要刪除設(shè)備上的所有數(shù)據(jù)”。被利用的漏洞目前編號為 CVE-2018-18472,這是一個根遠(yuǎn)程命令執(zhí)行(RCE)漏洞,在 CVSS 嚴(yán)重性評級為 9.8。
攻擊者能夠以 root 身份進(jìn)行遠(yuǎn)程操作,他們可以觸發(fā)重置并擦除這些便攜式存儲設(shè)備上的所有內(nèi)容,這些設(shè)備在 2010 年首次亮相,在 2015 年獲得了最后的固件更新。當(dāng)產(chǎn)品進(jìn)入報廢期時,它們通常無權(quán)獲得新的安全更新。
正如Bleeping Computer首次報道的那樣,論壇用戶于6月24日開始通過WD論壇和Reddit查詢他們的數(shù)據(jù)突然丟失的情況。一位論壇用戶認(rèn)為,由于他們的信息被刪除,自己 “完全完蛋了”。
另一位用戶評論道:“我愿意拿出我的畢生積蓄來獲取我的博士論文數(shù)據(jù)、我孩子和死去的親戚的新生照片、我寫的但從未發(fā)表的旅行博客以及我過去7個月的所有合同工作。我甚至不敢想這對我的職業(yè)生涯會有什么影響,因?yàn)槲沂チ怂械捻?xiàng)目數(shù)據(jù)和文件…”。
在撰寫本文時,論壇用戶正在交易潛在的恢復(fù)方法和想法,并有不同程度的成功。西部數(shù)據(jù)說:“我們正在審查我們從受影響的客戶那里收到的日志文件,以進(jìn)一步確定攻擊和訪問機(jī)制的特征”。
到目前為止,這些日志文件顯示,My Book Live設(shè)備是通過直接在線連接或端口轉(zhuǎn)發(fā)在全球范圍內(nèi)被攻擊的。WizCase之前已經(jīng)公布了該漏洞的概念驗(yàn)證(PoC)代碼。在某些情況下,攻擊者還安裝了一個木馬程序,其樣本已被上傳到VirusTotal。
My Book Live設(shè)備被認(rèn)為是參與這次廣泛攻擊的唯一產(chǎn)品。西部數(shù)據(jù)的云服務(wù)、固件更新系統(tǒng)和客戶信息被認(rèn)為沒有被泄露。西部數(shù)據(jù)正在敦促客戶盡快將他們的設(shè)備從互聯(lián)網(wǎng)上撤出。
西部數(shù)據(jù)說:“我們知道我們客戶的數(shù)據(jù)非常重要。”我們還不明白為什么攻擊者觸發(fā)了出廠重置;但是,我們已經(jīng)獲得了一個受影響設(shè)備的樣本,正在進(jìn)一步調(diào)查“。該公司還在調(diào)查受影響客戶的潛在恢復(fù)方案。
