ithome WD證實駭客濫用My Book Live系列NAS漏洞，用戶資料遭到刪除 文/林妍溱 | 2021-06-28發表 West Digital（WD）儲存裝置一項存在近3年的漏洞遭到駭客開採，導致部份用戶資料全 數被清空。 West Digital（WD）儲存裝置WD My Book Live、My Book Live Duo為WD推出可置於桌上 的小型NAS設備。它讓使用者可透過App或Web介面存取檔案。 但上周有WD用戶反映，他的WD My Book Live裝置儲存多年的資料都沒了，雖然還留有目 錄，但全部都是空的。2TB儲存空間顯示全滿。此外他也無法以預設admin或變更過的密碼 登入控制UI，僅能在某個登入頁面輸入「owner password」 另一名用戶更發現，有人可不經任何許可，而能遠端將裝置回復到出廠設定，相信是資料 被清空的原因。 WD隨後說明，經過研究，該公司判斷My Book Live、My Book Live Duo裝置一個遠端程式 碼執行漏洞（RCE）漏洞CVE-2018-18472遭到開採，在某些情況下，攻擊者可觸發回復出 廠設定，可能是所有資料被抹除的主因。 WD檢視一些客戶的登入檔，發現攻擊者在不同國家多個不同IP位址連上My Book Live，顯 示它們是可由網際網路直接存取，可能是直接連線，或是透過UPnP手動或自動傳輸埠轉發 （port forwarding）功能而連結。登錄檔顯示有些裝置甚至遭植入木馬程式. nttpd,1-ppc-be-t1-z，這是專為My Book Live及Live Duo的PowerPC處理器架構而組譯的 Linux ELF二進位檔。這隻惡意程式也被上傳到了VirusTotal。 受影響的產品包括2010年出售的My Book Live系列，這些裝置自2015年起就未再接獲韌體 更新。他們呼籲My Book Live和My Book Live Duo客戶儘速從網路拉下線，以免資料受害 。 根據CVE-2018-18472的漏洞描述，該RCE漏洞位於 /api/1.0/rest/language_configuration的語言參數的shell metacharacter中，可被知 道裝置IP的人開採，以發送回覆出廠設定指令。 另有用戶通報，一些資料回復工具可以恢復受影響裝置的資料，WD也正在研究之中。 WD強調尚未發現WD雲端服務、韌體更新伺服器或客戶登入密碼等被開採的證據。其中許多 用戶擔心的My Cloud OS 5 和 My Cloud Home裝置系列，因為採取更新的安全架構，並不 受影響。WD也呼籲My Cloud OS 3用戶升級到OS 5。 https://www.ithome.com.tw/news/145285? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.16.89 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1625402719.A.DEC.html