ithome
WD证实骇客滥用My Book Live系列NAS漏洞，用户资料遭到删除
文/林妍溱 | 2021-06-28发表
West Digital（WD）储存装置一项存在近3年的漏洞遭到骇客开采，导致部份用户资料全
数被清空。
West Digital（WD）储存装置WD My Book Live、My Book Live Duo为WD推出可置于桌上
的小型NAS设备。它让使用者可透过App或Web接口存取档案。
但上周有WD用户反映，他的WD My Book Live装置储存多年的资料都没了，虽然还留有目
录，但全部都是空的。2TB储存空间显示全满。此外他也无法以默认admin或变更过的密码
登入控制UI，仅能在某个登入页面输入“owner password”
另一名用户更发现，有人可不经任何许可，而能远端将装置回复到出厂设定，相信是资料
被清空的原因。
WD随后说明，经过研究，该公司判断My Book Live、My Book Live Duo装置一个远端程式
码执行漏洞（RCE）漏洞CVE-2018-18472遭到开采，在某些情况下，攻击者可触发回复出
厂设定，可能是所有资料被抹除的主因。
WD检视一些客户的登入档，发现攻击者在不同国家多个不同IP位址连上My Book Live，显
示它们是可由互联网直接存取，可能是直接连线，或是透过UPnP手动或自动传输埠转发
（port forwarding）功能而连结。登录档显示有些装置甚至遭植入木马程式.
nttpd,1-ppc-be-t1-z，这是专为My Book Live及Live Duo的PowerPC处理器架构而组译的
Linux ELF二进制档。这只恶意程式也被上传到了VirusTotal。
受影响的产品包括2010年出售的My Book Live系列，这些装置自2015年起就未再接获韧体
更新。他们呼吁My Book Live和My Book Live Duo客户尽速从网络拉下线，以免资料受害
。
根据CVE-2018-18472的漏洞描述，该RCE漏洞位于
/api/1.0/rest/language_configuration的语言参数的shell metacharacter中，可被知
道装置IP的人开采，以发送回复出厂设定指令。
另有用户通报，一些资料回复工具可以恢复受影响装置的资料，WD也正在研究之中。
WD强调尚未发现WD云端服务、韧体更新服务器或客户登入密码等被开采的证据。其中许多
用户担心的My Cloud OS 5 和 My Cloud Home装置系列，因为采取更新的安全架构，并不
受影响。WD也呼吁My Cloud OS 3用户升级到OS 5。
https://www.ithome.com.tw/news/145285?