[情報] WD證實駭客濫用My Book Live系列NAS漏洞

ithome

WD證實駭客濫用My Book Live系列NAS漏洞，用戶資料遭到刪除

文/林妍溱 | 2021-06-28發表

West Digital（WD）儲存裝置一項存在近3年的漏洞遭到駭客開採，導致部份用戶資料全數被清空。

West Digital（WD）儲存裝置WD My Book Live、My Book Live Duo為WD推出可置於桌上的小型NAS設備。它讓使用者可透過App或Web介面存取檔案。

但上周有WD用戶反映，他的WD My Book Live裝置儲存多年的資料都沒了，雖然還留有目錄，但全部都是空的。2TB儲存空間顯示全滿。此外他也無法以預設admin或變更過的密碼登入控制UI，僅能在某個登入頁面輸入「owner password」

另一名用戶更發現，有人可不經任何許可，而能遠端將裝置回復到出廠設定，相信是資料被清空的原因。

WD隨後說明，經過研究，該公司判斷My Book Live、My Book Live Duo裝置一個遠端程式碼執行漏洞（RCE）漏洞CVE-2018-18472遭到開採，在某些情況下，攻擊者可觸發回復出廠設定，可能是所有資料被抹除的主因。

WD檢視一些客戶的登入檔，發現攻擊者在不同國家多個不同IP位址連上My Book Live，顯示它們是可由網際網路直接存取，可能是直接連線，或是透過UPnP手動或自動傳輸埠轉發（port forwarding）功能而連結。登錄檔顯示有些裝置甚至遭植入木馬程式.
nttpd,1-ppc-be-t1-z，這是專為My Book Live及Live Duo的PowerPC處理器架構而組譯的Linux ELF二進位檔。這隻惡意程式也被上傳到了VirusTotal。

受影響的產品包括2010年出售的My Book Live系列，這些裝置自2015年起就未再接獲韌體更新。他們呼籲My Book Live和My Book Live Duo客戶儘速從網路拉下線，以免資料受害。

根據CVE-2018-18472的漏洞描述，該RCE漏洞位於
/api/1.0/rest/language_configuration的語言參數的shell metacharacter中，可被知道裝置IP的人開採，以發送回覆出廠設定指令。

另有用戶通報，一些資料回復工具可以恢復受影響裝置的資料，WD也正在研究之中。

WD強調尚未發現WD雲端服務、韌體更新伺服器或客戶登入密碼等被開採的證據。其中許多用戶擔心的My Cloud OS 5 和 My Cloud Home裝置系列，因為採取更新的安全架構，並不受影響。WD也呼籲My Cloud OS 3用戶升級到OS 5。

https://www.ithome.com.tw/news/145285?

--