ithome
WD证实骇客滥用My Book Live系列NAS漏洞,用户资料遭到删除
文/林妍溱 | 2021-06-28发表
West Digital(WD)储存装置一项存在近3年的漏洞遭到骇客开采,导致部份用户资料全
数被清空。
West Digital(WD)储存装置WD My Book Live、My Book Live Duo为WD推出可置于桌上
的小型NAS设备。它让使用者可透过App或Web接口存取档案。
但上周有WD用户反映,他的WD My Book Live装置储存多年的资料都没了,虽然还留有目
录,但全部都是空的。2TB储存空间显示全满。此外他也无法以默认admin或变更过的密码
登入控制UI,仅能在某个登入页面输入“owner password”
另一名用户更发现,有人可不经任何许可,而能远端将装置回复到出厂设定,相信是资料
被清空的原因。
WD随后说明,经过研究,该公司判断My Book Live、My Book Live Duo装置一个远端程式
码执行漏洞(RCE)漏洞CVE-2018-18472遭到开采,在某些情况下,攻击者可触发回复出
厂设定,可能是所有资料被抹除的主因。
WD检视一些客户的登入档,发现攻击者在不同国家多个不同IP位址连上My Book Live,显
示它们是可由互联网直接存取,可能是直接连线,或是透过UPnP手动或自动传输埠转发
(port forwarding)功能而连结。登录档显示有些装置甚至遭植入木马程式.
nttpd,1-ppc-be-t1-z,这是专为My Book Live及Live Duo的PowerPC处理器架构而组译的
Linux ELF二进制档。这只恶意程式也被上传到了VirusTotal。
受影响的产品包括2010年出售的My Book Live系列,这些装置自2015年起就未再接获韧体
更新。他们呼吁My Book Live和My Book Live Duo客户尽速从网络拉下线,以免资料受害
。
根据CVE-2018-18472的漏洞描述,该RCE漏洞位于
/api/1.0/rest/language_configuration的语言参数的shell metacharacter中,可被知
道装置IP的人开采,以发送回复出厂设定指令。
另有用户通报,一些资料回复工具可以恢复受影响装置的资料,WD也正在研究之中。
WD强调尚未发现WD云端服务、韧体更新服务器或客户登入密码等被开采的证据。其中许多
用户担心的My Cloud OS 5 和 My Cloud Home装置系列,因为采取更新的安全架构,并不
受影响。WD也呼吁My Cloud OS 3用户升级到OS 5。
https://www.ithome.com.tw/news/145285?