Диски Western Digital My Book Live злонамеренно стираются

Значительное количество владельцев NAS от Western Digital My Book Live сообщают, что их диски полностью уничтожены. Неизвестные злоумышленники сделали это удаленно…

Компания подтвердила, что атаки происходят, и посоветовала владельцам немедленно отключить свои диски от Интернета.

Журналы предполагают, что выполняется сценарий, который инструктирует привод выполнить сброс до заводских настроек, стирая все данные.

Bleeping Computer сообщает.

Владельцы NAS от Western Digital My Book по всему миру обнаружили, что на их устройствах произошел таинственный сброс настроек, а все их файлы были удалены. […]

Сегодня владельцы WD My Book по всему миру внезапно обнаружили, что все их файлы были таинственным образом удалены, и они больше не могли войти в систему через браузер или приложение. Когда они попытались войти в систему через веб-панель управления, устройство сообщило, что у них был «неверный пароль».

«У меня есть WD My Book live, подключенный к моей домашней локальной сети, и он годами работал нормально. Я только что обнаружил, что каким-то образом все данные на нем сегодня исчезли, а каталоги кажутся пустыми. Раньше объем 2T был почти заполнен, но теперь он показывает полную емкость [free], — сообщил владелец WD My Book на форумах сообщества Western Digital.

Некоторые пользователи надеялись, что данные могут быть нетронутыми, и просто программное обеспечение для управления дисками больше не может их видеть, но использование SSH показывает, что все файлы и каталоги исчезли.

Системные журналы показывают, что выполняется сценарий, сбрасывающий диски.

23 июня, 15:14:05 My BookLive factoryRestore.sh: начало скрипта:
23 июня, 15:14:05 Выключение My BookLive[24582]: завершение работы для перезагрузки системы
23 июня 16:02:26 My BookLive S15mountDataVolume.sh: начало скрипта: начало
23 июня 16:02:29 My BookLive: pkg: wd-nas 23 июня 16:02:30 My BookLive: pkg: network-general
23 июня 16:02:30 My BookLive: pkg: apache-php-webdav 23 июня 16:02:31 My BookLive: pkg: date-time
23 июня 16:02:31 My BookLive: pkg: alerts 23 июня 16:02:31 My BookLive logger: hostname = My BookLive 23 июня 16:02:32 My BookLive: pkg: admin-rest-api

Такая атака не должна быть возможной, поскольку диски находятся за брандмауэром, а удаленный доступ должен быть разрешен только через облачные серверы My Book Live компании после аутентификации пользователя. Western Digital заявляет, что «не верит», что ее серверы были скомпрометированы, хотя это кажется очевидным объяснением. Еще одна возможность заключается в том, что хакеры получили учетные данные для входа с другого веб-сайта, поскольку многие люди продолжают повторно использовать пароли, несмотря на все предупреждения, чтобы этого не делать.

На данный момент WD рекомендует отсоединять кабель Ethernet.

Western Digital установила, что некоторые устройства My Book Live взломаны вредоносным ПО. В некоторых случаях этот компромисс приводил к сбросу настроек к заводским настройкам, который, по всей видимости, стирает все данные на устройстве. Последнее обновление прошивки устройства My Book Live было получено в 2015 году. Мы понимаем, что данные наших клиентов очень важны. В настоящее время мы рекомендуем отключить My Book Live от Интернета, чтобы защитить данные на устройстве. Мы активно изучаем ситуацию и будем предоставлять обновления в эту ветку, когда они будут доступны.

Лично я бы сделал то же самое с любым продуктом Western Digital NAS, пока мы не узнаем больше об этом нарушении безопасности.