在遭到一系列遠程攻擊之後,西部數據(WD)敦促 My Book 用戶立即斷開互聯網連接。在 6 月 24 日發布的官方公告中,WD 表示 My Book Live 和 My Book Live Duo 網絡附加存儲(NAS)設備可能通過出廠重置被遠程擦除,使用戶面臨失去所有存儲數據的風險。
在公告中寫道:“西部數據已經確定,一些 My Book Live 和 My Book Live Duo 設備正受到一個遠程命令執行漏洞的影響。在某些情況下,攻擊者已經觸發了出廠重置,似乎是要刪除設備上的所有數據”。被利用的漏洞目前編號為 CVE-2018-18472,這是一個根遠程命令執行(RCE)漏洞,在 CVSS 嚴重性評級為 9.8。
攻擊者能夠以 root 身份進行遠程操作,他們可以觸發重置並擦除這些便攜式存儲設備上的所有內容,這些設備在 2010 年首次亮相,在 2015 年獲得了最後的固件更新。當產品進入報廢期時,它們通常無權獲得新的安全更新。
正如Bleeping Computer首次報道的那樣,論壇用戶於6月24日開始通過WD論壇和Reddit查詢他們的數據突然丟失的情況。一位論壇用戶認為,由於他們的信息被刪除,自己 “完全完蛋了”。
另一位用戶評論道:“我願意拿出我的畢生積蓄來獲取我的博士論文數據、我孩子和死去的親戚的新生照片、我寫的但從未發表的旅行博客以及我過去7個月的所有合同工作。我甚至不敢想這對我的職業生涯會有什麼影響,因為我失去了所有的項目數據和文件…”。
在撰寫本文時,論壇用戶正在交易潛在的恢復方法和想法,並有不同程度的成功。西部數據說:“我們正在審查我們從受影響的客戶那裡收到的日誌文件,以進一步確定攻擊和訪問機制的特徵”。
到目前為止,這些日誌文件顯示,My Book Live設備是通過直接在線連接或端口轉發在全球範圍內被攻擊的。WizCase之前已經公布了該漏洞的概念驗證(PoC)代碼。在某些情況下,攻擊者還安裝了一個木馬程序,其樣本已被上傳到VirusTotal。
My Book Live設備被認為是參與這次廣泛攻擊的唯一產品。西部數據的雲服務、固件更新系統和客戶信息被認為沒有被泄露。西部數據正在敦促客戶儘快將他們的設備從互聯網上撤出。
西部數據說:”我們知道我們客戶的數據非常重要。”我們還不明白為什麼攻擊者觸發了出廠重置;但是,我們已經獲得了一個受影響設備的樣本,正在進一步調查”。該公司還在調查受影響客戶的潛在恢復方案。