全球的西部數(shù)據(jù)(WD)My Book NAS用戶發(fā)現(xiàn)他們的設(shè)備被神秘地擦除(被執(zhí)行恢復(fù)出廠設(shè)置并刪除了所有文件)。

WD My Book是一種網(wǎng)絡(luò)連接的存儲設(shè)備，它體積很小，看上去就像一本立在辦公桌上的書。WD My Book Live應(yīng)用程序允許用戶遠(yuǎn)程訪問他們的文件和管理他們的NAS設(shè)備，即使該NAS設(shè)備位于防火墻或路由器之后。

上周，全球的WD My Book用戶突然發(fā)現(xiàn)他們的所有文件都被神秘刪除了，而且無法再通過瀏覽器或應(yīng)用程序登錄設(shè)備。

當(dāng)他們嘗試通過Web儀表板登錄時(shí)，設(shè)備聲明他們的密碼“無效”。

“我有一臺WD My Book實(shí)時(shí)連接到我的家庭局域網(wǎng)并且正常使用了多年。我剛剛發(fā)現(xiàn)不知何故今天它上面的所有數(shù)據(jù)都消失了，目錄都在但文件都不見了。之前我的2T卷幾乎已滿，但現(xiàn)在它幾乎是個(gè)空盤。更奇怪的是，當(dāng)我嘗試登錄控制UI進(jìn)行診斷時(shí)，我只能使用‘用戶密碼’的輸入框進(jìn)入此登錄頁面。”WD My Book用戶在西部數(shù)據(jù)社區(qū)論壇上說道。

My Book設(shè)備接到恢復(fù)出廠設(shè)置的神秘遠(yuǎn)程命令

越來越多的My Book用戶確認(rèn)他們的設(shè)備遇到了同樣的問題。MyBook日志顯示這些設(shè)備都收到了一個(gè)遠(yuǎn)程命令，要求從昨天下午3點(diǎn)左右開始執(zhí)行恢復(fù)出廠設(shè)置，一直持續(xù)到晚上。

與通常連接到互聯(lián)網(wǎng)并受到QLocker Ransomware等攻擊的QNAP設(shè)備不同，西部數(shù)據(jù)My Book設(shè)備置于在防火墻后面，并通過My Book Live云服務(wù)器進(jìn)行通信以提供遠(yuǎn)程訪問。

一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞

一些用戶表示擔(dān)心西部數(shù)據(jù)的服務(wù)器被黑客入侵，向連接到該服務(wù)的所有設(shè)備推送遠(yuǎn)程恢復(fù)出廠設(shè)置命令。

如果是黑客在“清空”全球的My Book設(shè)備，那么蹊蹺的是，沒有人報(bào)告贖金勒索或其他威脅，這意味著這次黑客攻擊是一個(gè)純粹的破壞性活動。

一些受此攻擊影響的用戶報(bào)告說使用PhotoRec文件恢復(fù)工具成功恢復(fù)了他們的一些文件，但其他用戶并沒有那么幸運(yùn)。

在最新的公告中，西部數(shù)據(jù)確認(rèn)了惡意軟件是數(shù)據(jù)擦除的原因：

“Western Digital已確定某些My Book Live設(shè)備受到惡意軟件的攻擊。在某些情況下，這種攻擊會導(dǎo)致恢復(fù)出廠設(shè)置，似乎會擦除設(shè)備上的所有數(shù)據(jù)。”

對于WD My Book Look NAS設(shè)備的用戶，西部數(shù)據(jù)強(qiáng)烈建議斷開設(shè)備與互聯(lián)網(wǎng)的連接。

“此時(shí)，我們建議您斷開My Book Live和My Book Live Duo與互聯(lián)網(wǎng)的連接，以保護(hù)您在設(shè)備上的數(shù)據(jù)。”西部數(shù)據(jù)在一份公告中表示。

據(jù)悉，My Book Live設(shè)備收到的最后一次固件更新在2015年。

此后，一個(gè)編號CVE-2018-18472的遠(yuǎn)程代碼執(zhí)行漏洞與公開的概念驗(yàn)證漏洞一起被披露。攻擊者對互聯(lián)網(wǎng)進(jìn)行了大規(guī)模掃描以查找易受攻擊的設(shè)備，并利用此漏洞發(fā)出恢復(fù)出廠設(shè)置的命令。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文