| 25 июня 2021 г. — 4:07 PT
Значительное число владельцев накопителей Western Digital My Book Live сообщают, что их накопители были полностью стерты. Это было сделано удаленно неизвестными злоумышленниками…
Компания подтвердила, что атаки происходят, и посоветовала владельцам немедленно отключить свои накопители от интернета.
Логи показывают, что запускается скрипт, который дает команду накопителю выполнить сброс к заводским настройкам, стирая все данные.
Bleeping Computer сообщает.
Владельцы NAS Western Digital My Book по всему миру обнаружили, что их устройства были таинственным образом сброшены к заводским настройкам, и все их файлы были удалены…
Сегодня владельцы WD My Book по всему миру внезапно обнаружили, что все их файлы были таинственным образом удалены, и они больше не могли войти в устройство через браузер или приложение. Когда они попытались войти через веб-панель управления, устройство выдало сообщение «Неверный пароль».
«У меня есть WD My Book live, подключенный к моей домашней сети, и он работал нормально годами. Сегодня я обнаружил, что все данные на нем исчезли, при этом каталоги как бы существуют, но пусты. Раньше 2T том был почти заполнен, а теперь он показывает полную свободную емкость», — сообщил владелец WD My Book на форумах сообщества Western Digital.
Некоторые пользователи надеялись, что данные могут быть нетронуты, а просто программное обеспечение для управления накопителем больше не может их видеть, но использование SSH показывает, что все файлы и каталоги отсутствуют.
Системные журналы показывают, что запускается скрипт, который сбрасывает накопители.
23 июня 15:14:05 My BookLive factoryRestore.sh: начало скрипта:
23 июня 15:14:05 My BookLive shutdown[24582]: идет перезагрузка системы
23 июня 16:02:26 My BookLive S15mountDataVolume.sh: начало скрипта: старт
23 июня 16:02:29 My BookLive : pkg: wd-nas 23 июня 16:02:30 My BookLive : pkg: networking-general
23 июня 16:02:30 My BookLive : pkg: apache-php-webdav 23 июня 16:02:31 My BookLive : pkg: date-time
23 июня 16:02:31 My BookLive : pkg: alerts 23 июня 16:02:31 My BookLive logger: hostname=My BookLive 23 июня 16:02:32 My BookLive : pkg: admin-rest-api
Подобная атака не должна быть возможна, поскольку накопители находятся за файрволом, а удаленный доступ должен разрешаться только через облачные серверы My Book Live компании после аутентификации пользователя. Western Digital заявляет, что «не считает», что ее серверы были скомпрометированы, хотя это кажется очевидным объяснением. Другая возможность заключается в том, что хакеры получили учетные данные для входа с другого веб-сайта, поскольку многие люди продолжают повторно использовать пароли, несмотря на все предупреждения не делать этого.
Пока что WD рекомендует отключить Ethernet-кабель.
Western Digital определила, что некоторые устройства My Book Live скомпрометированы вредоносным программным обеспечением. В некоторых случаях эта компрометация привела к сбросу к заводским настройкам, который, похоже, стирает все данные на устройстве. Устройство My Book Live получило последнее обновление прошивки в 2015 году. Мы понимаем, что данные наших клиентов очень важны. В настоящее время мы рекомендуем вам отключить ваше устройство My Book Live от Интернета для защиты данных на устройстве. Мы активно расследуем и будем предоставлять обновления в этой теме, когда они станут доступны.
Лично я, пока мы не узнаем больше об этой уязвимости в безопасности, поступил бы так же с любым продуктом NAS от Western Digital.