[情報] WD證實駭客濫用My Book Live系列NAS漏洞
ithome
WD證實駭客濫用My Book Live系列NAS漏洞,用戶資料遭到刪除
文/林妍溱 | 2021-06-28發表
West Digital(WD)儲存裝置一項存在近3年的漏洞遭到駭客開採,導致部份用戶資料全數被清空。
West Digital(WD)儲存裝置WD My Book Live、My Book Live Duo為WD推出可置於桌上的小型NAS設備。它讓使用者可透過App或Web介面存取檔案。
但上周有WD用戶反映,他的WD My Book Live裝置儲存多年的資料都沒了,雖然還留有目錄,但全部都是空的。2TB儲存空間顯示全滿。此外他也無法以預設admin或變更過的密碼登入控制UI,僅能在某個登入頁面輸入「owner password」
另一名用戶更發現,有人可不經任何許可,而能遠端將裝置回復到出廠設定,相信是資料被清空的原因。
WD隨後說明,經過研究,該公司判斷My Book Live、My Book Live Duo裝置一個遠端程式碼執行漏洞(RCE)漏洞CVE-2018-18472遭到開採,在某些情況下,攻擊者可觸發回復出廠設定,可能是所有資料被抹除的主因。
WD檢視一些客戶的登入檔,發現攻擊者在不同國家多個不同IP位址連上My Book Live,顯示它們是可由網際網路直接存取,可能是直接連線,或是透過UPnP手動或自動傳輸埠轉發(port forwarding)功能而連結。登錄檔顯示有些裝置甚至遭植入木馬程式.
nttpd,1-ppc-be-t1-z,這是專為My Book Live及Live Duo的PowerPC處理器架構而組譯的Linux ELF二進位檔。這隻惡意程式也被上傳到了VirusTotal。
受影響的產品包括2010年出售的My Book Live系列,這些裝置自2015年起就未再接獲韌體更新。他們呼籲My Book Live和My Book Live Duo客戶儘速從網路拉下線,以免資料受害。
根據CVE-2018-18472的漏洞描述,該RCE漏洞位於
/api/1.0/rest/language_configuration的語言參數的shell metacharacter中,可被知道裝置IP的人開採,以發送回覆出廠設定指令。
另有用戶通報,一些資料回復工具可以恢復受影響裝置的資料,WD也正在研究之中。
WD強調尚未發現WD雲端服務、韌體更新伺服器或客戶登入密碼等被開採的證據。其中許多用戶擔心的My Cloud OS 5 和 My Cloud Home裝置系列,因為採取更新的安全架構,並不受影響。WD也呼籲My Cloud OS 3用戶升級到OS 5。
https://www.ithome.com.tw/news/145285?
--
哇
這上週的事情了吧
"濫用" ????
exploit的翻譯吧
這路由問題吧,為什麼放在內網的東
西駭客連得上還知道密碼?還是他們
的設計是不用登入也能reset?
WD 不是第一次了, 韌體亂寫一通
這次是不用密碼就可以 reset
這就像你為什麼連得到內網開anydesk
的電腦一樣的問題,不是一定要開埠
才進的去
如果wd會搭一條session到伺服器那就
有可能可以用這條sission進去
實際上wd那系統怎麼跑的我不知道
現在個人NAS都有聯外網功能
方便的功能對惡意人士來講也方便
這只說一半 另一半是WD把恢復原廠設
定要輸入帳密的程式碼註解掉了 超棒
滴
不用登入原廠幫你註解掉了,笑死
沒註解掉,但密碼如果還是預設結果
也一樣,我相信幾乎9成的人都不會改
到那密碼。
9
[情報] Realtek晶片爆零點擊RCE漏洞,影響20款設Realtek晶片爆零點擊RCE漏洞,影響20款設備品牌 文/林妍溱 | 2022-08-15發表 瑞昱半導體(Realtek)推出的晶片一項軟體元件被發現有安全漏洞,可讓駭客在使用其軟體的路由器上遠端執行程式碼,至少有20多項品牌受到影響。 這項漏洞是由安全廠商Faraday研究人員Octavio Gianatiempo發現並通報,同時在安全大會Def Con公布。編號CVE-2022-27255漏洞位於瑞昱提供給其他路由器、AP或放大器廠商的系統單晶片(SOC)的eCOS SDK上,可造成網路設備的SIP ALG模組發生緩衝溢位情形。 SIP ALG是使網路封包由公有網路進入私有網路的NAT穿透技術。在此過程中路由器的SIP ALG模組會呼叫strcpy函式將SIP封包內容複製到預先定義的固定緩衝。最新漏洞主因出在廠商對這網路功能安全實作不當,使網路設備的緩衝對複製內容的長度檢查不足。駭客可以改造SIP封包內的SDP資料引數或SIP標頭,利用WAN介面傳送到路由器開採漏洞。成功的開採可造成緩衝溢位,引發裝置崩潰或遠端程式碼執行。8
[救援] 新買的WD MYBOOK讀取不到各位好 是這樣 昨天從光華購買了WD的MY BOOK 4T想說當備份硬碟 晚上把該弄的東西複製進去後 今天將電腦重灌,重灌完成接上硬碟卻怎麼也無法使用7
[情報] 微軟:Windows MSHTML漏洞已有勒索軟體開微軟:Windows MSHTML漏洞已有勒索軟體開採 文/林妍溱 | 2021-09-17發表 在Windows MSHTML漏洞揭露有攻擊活動一個星期後,微軟昨(16)日指出,有跡象顯示歹 徒正在利用這項漏洞,發動勒索軟體攻擊。 微軟於9月7日公布編號CVE-2021-40444的Windows重大漏洞,警告已有開採活動,同時提供5
[救援] 外接硬碟有可能安裝驅動就自動做格式化嗎簡短描述: 只是用了Windows Update,安裝一個WD外接硬碟的驅動,硬碟有可能被自動格式化嗎? 並不是磁區被刪,也不是回溯為出廠預設,也完全沒被改動過磁區類型、磁碟分割格式 而是說,原本X磁區裡有大量資料,裝完驅動後,直接就被變成一個同樣是X代號但完全清 空的磁區? 有可能發生這種事嗎?4
[情報] TPM 2.0程式碼被爆2個可外洩資訊的漏洞TPM 2.0程式碼被爆2個可外洩資訊的漏洞 文/林妍溱 | 2023-03-03發表 攸關資料與身分安全的信賴平臺模組(Trusted Platform Module,TPM)2.0近日被發現參考實作程式碼有2個記憶體毁損漏洞,可造成裝置機密資料外洩,或被駭客升級權限而執行惡意程式碼。 TPM 2.0是安全密碼處理器的國際標準,旨在使用裝置中的安全硬體處理裝置上的加密金鑰,其技術規範是由信賴計算組織(Trusted Computing Group,TCG)編寫。TPM 2.0是電腦安全技術不可或缺的元素,Windows 11需要TPM2.0才能安裝,它也是生物辨識Windows Hello及加密技術BitLocker的關鍵。 兩項漏洞是由Quarks Lab研究人員發現並通報,影響TPM 2.0參考實作1.59、1.38和1.16。根據TPC指出,漏洞都是發生在TPM 2.0 CryptParameterDecryption()函式。其中一個編號CVE-2023-1018是越界讀取(out-of- bounds read),另一個CVE-2023-1017則是越界寫入。兩漏洞可被使用者模式的應用程式觸發,具備基本權限的攻擊者可傳送有加密參數的惡意TPM 2.0指令,到以問題版本實作為基礎的TPM 2.0韌體,達成攻擊目的。4
[閒聊] WD連網硬碟外接盒有重大安全風險這幾天爆出 WD My Book Live 連網儲存裝置會自動刪除數據的事件,網路上已經有不少苦主在怨聲載道,回報指他們都損失了以 TB 計的重要回憶和檔案。甚至因為密碼失效而無法登入 WD 的雲端診斷服務。 其中一些使用者就在執行記錄中找到,他們的裝置是在星期三的下午 3 點收到執行指令,要求關機和進行原廠重設。 由於 WD My Book Live 是可以透過有線和無線方式連網,以便讓不同平台的電腦、手機等裝置使用,所以這種來自網路的指令都會接收到。 這個機型雖然有防火牆保護,但自 2015 年就沒有更新。所以有說法是 WD 的伺服器端被駭,讓駭客藉此實行如此規模的行動。 不過 WD 發的聲明中就只有確認事件是因於惡意軟體而生,並沒有解釋到駭客是如何成功入侵1
[請益] WD MY BOOK使用疑問各位先進前輩好 想請教如果桌上電腦常態接WD MY BOOK系列儲存自動備份資料, 若不幸電腦中了勒索病毒,MY BOOK內資料也是會中的對嗎? --