ithome
WD證實駭客濫用My Book Live系列NAS漏洞,用戶資料遭到刪除
文/林妍溱 | 2021-06-28發表
West Digital(WD)儲存裝置一項存在近3年的漏洞遭到駭客開採,導致部份用戶資料全
數被清空。
West Digital(WD)儲存裝置WD My Book Live、My Book Live Duo為WD推出可置於桌上
的小型NAS設備。它讓使用者可透過App或Web介面存取檔案。
但上周有WD用戶反映,他的WD My Book Live裝置儲存多年的資料都沒了,雖然還留有目
錄,但全部都是空的。2TB儲存空間顯示全滿。此外他也無法以預設admin或變更過的密碼
登入控制UI,僅能在某個登入頁面輸入「owner password」
另一名用戶更發現,有人可不經任何許可,而能遠端將裝置回復到出廠設定,相信是資料
被清空的原因。
WD隨後說明,經過研究,該公司判斷My Book Live、My Book Live Duo裝置一個遠端程式
碼執行漏洞(RCE)漏洞CVE-2018-18472遭到開採,在某些情況下,攻擊者可觸發回復出
廠設定,可能是所有資料被抹除的主因。
WD檢視一些客戶的登入檔,發現攻擊者在不同國家多個不同IP位址連上My Book Live,顯
示它們是可由網際網路直接存取,可能是直接連線,或是透過UPnP手動或自動傳輸埠轉發
(port forwarding)功能而連結。登錄檔顯示有些裝置甚至遭植入木馬程式.
nttpd,1-ppc-be-t1-z,這是專為My Book Live及Live Duo的PowerPC處理器架構而組譯的
Linux ELF二進位檔。這隻惡意程式也被上傳到了VirusTotal。
受影響的產品包括2010年出售的My Book Live系列,這些裝置自2015年起就未再接獲韌體
更新。他們呼籲My Book Live和My Book Live Duo客戶儘速從網路拉下線,以免資料受害
。
根據CVE-2018-18472的漏洞描述,該RCE漏洞位於
/api/1.0/rest/language_configuration的語言參數的shell metacharacter中,可被知
道裝置IP的人開採,以發送回覆出廠設定指令。
另有用戶通報,一些資料回復工具可以恢復受影響裝置的資料,WD也正在研究之中。
WD強調尚未發現WD雲端服務、韌體更新伺服器或客戶登入密碼等被開採的證據。其中許多
用戶擔心的My Cloud OS 5 和 My Cloud Home裝置系列,因為採取更新的安全架構,並不
受影響。WD也呼籲My Cloud OS 3用戶升級到OS 5。
https://www.ithome.com.tw/news/145285?
--
All Comments