西數:黑客利用遠程漏洞抹除My Book用戶數據 正研究潛在恢復方案
在公告中寫道:“西部數據已經確定,一些 My Book Live 和 My Book Live Duo 設備正受到一個遠程命令執行漏洞的影響。在某些情況下,攻擊者已經觸發了出廠重置,似乎是要刪除設備上的所有數據”。被利用的漏洞目前編號為 CVE-2018-18472,這是一個根遠程命令執行(RCE)漏洞,在 CVSS 嚴重性評級為 9.8。
攻擊者能夠以 root 身份進行遠程操作,他們可以觸發重置并擦除這些便攜式存儲設備上的所有內容,這些設備在 2010 年首次亮相,在 2015 年獲得了最后的固件更新。當產品進入報廢期時,它們通常無權獲得新的安全更新。
正如Bleeping Computer首次報道的那樣,論壇用戶于6月24日開始通過WD論壇和Reddit查詢他們的數據突然丟失的情況。一位論壇用戶認為,由于他們的信息被刪除,自己 "完全完蛋了"。
另一位用戶評論道:“我愿意拿出我的畢生積蓄來獲取我的博士論文數據、我孩子和死去的親戚的新生照片、我寫的但從未發表的旅行博客以及我過去7個月的所有合同工作。我甚至不敢想這對我的職業生涯會有什么影響,因為我失去了所有的項目數據和文件...”。
在撰寫本文時,論壇用戶正在交易潛在的恢復方法和想法,并有不同程度的成功。西部數據說:“我們正在審查我們從受影響的客戶那里收到的日志文件,以進一步確定攻擊和訪問機制的特征”。
到目前為止,這些日志文件顯示,My Book Live設備是通過直接在線連接或端口轉發在全球范圍內被攻擊的。WizCase之前已經公布了該漏洞的概念驗證(PoC)代碼。在某些情況下,攻擊者還安裝了一個木馬程序,其樣本已被上傳到VirusTotal。
My Book Live設備被認為是參與這次廣泛攻擊的唯一產品。西部數據的云服務、固件更新系統和客戶信息被認為沒有被泄露。西部數據正在敦促客戶盡快將他們的設備從互聯網上撤出。
西部數據說:"我們知道我們客戶的數據非常重要。"我們還不明白為什么攻擊者觸發了出廠重置;但是,我們已經獲得了一個受影響設備的樣本,正在進一步調查"。該公司還在調查受影響客戶的潛在恢復方案。
