PTT評價

[情報] WD證實駭客濫用My Book Live系列NAS漏洞

看板PC_Shopping標題[情報] WD證實駭客濫用My Book Live系列NAS漏洞作者
nk11208z
(小魯)
時間推噓 5 推:6 噓:1 →:17

ithome


WD證實駭客濫用My Book Live系列NAS漏洞,用戶資料遭到刪除


文/林妍溱 | 2021-06-28發表

West Digital(WD)儲存裝置一項存在近3年的漏洞遭到駭客開採,導致部份用戶資料全數被清空。

West Digital(WD)儲存裝置WD My Book Live、My Book Live Duo為WD推出可置於桌上的小型NAS設備。它讓使用者可透過App或Web介面存取檔案。

但上周有WD用戶反映,他的WD My Book Live裝置儲存多年的資料都沒了,雖然還留有目錄,但全部都是空的。2TB儲存空間顯示全滿。此外他也無法以預設admin或變更過的密碼登入控制UI,僅能在某個登入頁面輸入「owner password」

另一名用戶更發現,有人可不經任何許可,而能遠端將裝置回復到出廠設定,相信是資料被清空的原因。

WD隨後說明,經過研究,該公司判斷My Book Live、My Book Live Duo裝置一個遠端程式碼執行漏洞(RCE)漏洞CVE-2018-18472遭到開採,在某些情況下,攻擊者可觸發回復出廠設定,可能是所有資料被抹除的主因。

WD檢視一些客戶的登入檔,發現攻擊者在不同國家多個不同IP位址連上My Book Live,顯示它們是可由網際網路直接存取,可能是直接連線,或是透過UPnP手動或自動傳輸埠轉發(port forwarding)功能而連結。登錄檔顯示有些裝置甚至遭植入木馬程式.
nttpd,1-ppc-be-t1-z,這是專為My Book Live及Live Duo的PowerPC處理器架構而組譯的Linux ELF二進位檔。這隻惡意程式也被上傳到了VirusTotal。

受影響的產品包括2010年出售的My Book Live系列,這些裝置自2015年起就未再接獲韌體更新。他們呼籲My Book Live和My Book Live Duo客戶儘速從網路拉下線,以免資料受害。

根據CVE-2018-18472的漏洞描述,該RCE漏洞位於
/api/1.0/rest/language_configuration的語言參數的shell metacharacter中,可被知道裝置IP的人開採,以發送回覆出廠設定指令。

另有用戶通報,一些資料回復工具可以恢復受影響裝置的資料,WD也正在研究之中。

WD強調尚未發現WD雲端服務、韌體更新伺服器或客戶登入密碼等被開採的證據。其中許多用戶擔心的My Cloud OS 5 和 My Cloud Home裝置系列,因為採取更新的安全架構,並不受影響。WD也呼籲My Cloud OS 3用戶升級到OS 5。

https://www.ithome.com.tw/news/145285?

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.16.89 (臺灣)
PTT 網址

Lineage097 07/04 21:33

electronicyi 07/04 21:57這上週的事情了吧

nyanter 07/04 22:12"濫用" ????

abc21086999 07/04 22:46exploit的翻譯吧

B0988698088 07/04 23:23這路由問題吧,為什麼放在內網的東

B0988698088 07/04 23:23西駭客連得上還知道密碼?還是他們

B0988698088 07/04 23:23的設計是不用登入也能reset?

HamalAri 07/04 23:30WD 不是第一次了, 韌體亂寫一通

HamalAri 07/04 23:32這次是不用密碼就可以 reset

b325019 07/05 00:24這就像你為什麼連得到內網開anydesk

b325019 07/05 00:24的電腦一樣的問題,不是一定要開埠

b325019 07/05 00:24才進的去

b325019 07/05 00:25如果wd會搭一條session到伺服器那就

b325019 07/05 00:25有可能可以用這條sission進去

b325019 07/05 00:26實際上wd那系統怎麼跑的我不知道

k86083 07/05 00:30現在個人NAS都有聯外網功能

k86083 07/05 00:31方便的功能對惡意人士來講也方便

blackstyles 07/05 09:52這只說一半 另一半是WD把恢復原廠設

blackstyles 07/05 09:52定要輸入帳密的程式碼註解掉了 超棒

blackstyles 07/05 09:52

kevin850717 07/05 11:13不用登入原廠幫你註解掉了,笑死

phosgrapho 07/05 12:49沒註解掉,但密碼如果還是預設結果

phosgrapho 07/05 12:49也一樣,我相信幾乎9成的人都不會改

phosgrapho 07/05 12:49到那密碼。