[[407891]]

6月24日，世界各地的WD My Book Live和WD My Book Live DUO用戶突然發現，他們所有的文件都被神秘地刪除了，并且也不能通過瀏覽器或應用程序登錄設備。

WD My Book是一種網絡連接的存儲設備，一般情況下會部署在防火墻或路由器后面，WD My Book Live應用程序的用戶可以訪問他們的文件并遠程管理他們的設備。

My Book Live設備執行恢復出廠設置命令

越來越多的用戶確認他們的設備遭遇了同樣問題，其中一個用戶表示在驅動器的user.log中發現了：

• Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
• Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
• Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
• Jun 23 16:02:29 My BookLive _: pkg: wd-nas
• Jun 23 16:02:30 My BookLive _: pkg: networking-general
• Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
• Jun 23 16:02:31 My BookLive _: pkg: date-time
• Jun 23 16:02:31 My BookLive _: pkg: alerts
• Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
• Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api

一些用戶表示他們使用PhotoRec文件恢復工具成功恢復了一些文件，但不幸的是大多數用戶并沒有找回他們的文件。

未修補的漏洞被黑客利用觸發設備出廠重置

據悉，連接到互聯網的My Book Live和My Book Live Duo設備存在一個遠程代碼執行漏洞。黑客利用漏洞后觸發大量設備的出廠重置，從而導致用戶數據被刪。不過幸運的是，尚未發現任何證據表明西部數據的云服務、固件更新服務器或客戶憑證被泄露。

根據西部數據對受影響用戶處收到的日志文件的審查，發現黑客是從不同國家的IP地址直接連接到受影響的My Book Live設備。這表明受影響的設備可以從互聯網上直接訪問，要么通過直接連接，要么通過手動或UPnP自動啟用端口轉發。

此外，日志文件顯示，在一些設備上，黑客安裝了一個名為“.nttpd,1-ppc-be-t1-z ”的木馬，這是一個為My Book Live和Live Duo使用的PowerPC架構編譯的Linux ELF二進制文件。該木馬的一個樣本已被上傳到VirusTotal，正在進一步分析。

現在還不清楚黑客為什么會觸發出廠重置，如果黑客只是刪除了設備文件，那么該行為就很蹊蹺，因為沒有受害者收到勒索贖金票據或其他威脅提示，這說明這次攻擊只是單純的破壞性行為。

西部數據正在調查一個受影響設備的樣本，以此來弄清黑客的真實目的。此外，一些用戶表明數據恢復工具可能能夠恢復受影響設備的數據，針對這一點西部數據目前也正在調查工具是否有效。

將設備斷網可保護數據不被刪除

WD My Book Live設備在2015年進行了最后一次固件更新。自那以后，只披露了一個名為CVE-2018-18472的遠程代碼執行漏洞和一個公開的概念證明漏洞。此次攻擊很可能是黑客是在互聯網上對易受攻擊的設備進行了大規模掃描，并利用這一漏洞發出了工廠重置命令。建議用戶將WD My Book Live NAS設備與互聯網斷開連接，以保護設備上的數據。

參考來源：bleepingcomputer