Владельцы NAS производства Western Digital по всему миру жалуются, что с их устройств были удалены все файлы, а они больше не могут войти в систему через браузер или приложение, получая ошибку «неверный пароль». Попытки использовать пароль по умолчанию (admin), тоже не помогают.
Некоторые пострадавшие пишут, что, судя по логам, их устройства получили удаленную команду сброса к заводским настройкам.
«Я нашел это в user.log моего драйва:
Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 My BookLive _: pkg: wd-nas
Jun 23 16:02:30 My BookLive _: pkg: networking-general
Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 My BookLive _: pkg: date-time
Jun 23 16:02:31 My BookLive _: pkg: alerts
Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
Jun 23 16:02:32 My BookLive _: pkg: admin-rest-apiПохоже, в этом причина случившегося... В это время никого не было дома, чтобы использовать этот драйв», — пишет одна из жертв.
Многие пользователи опасаются, что их устройства были взломаны, и некий злоумышленник массово отправил NAS команду сброса к заводским настройкам. Но в таком случае странно, что атакующие не оставили записок с требованием выкупа и других угроз, вместо этого проведя деструктивную и бессмысленную атаку.
Некоторые пострадавшие сообщают, что смогли восстановить некоторые файлы с помощью инструмента PhotoRec. Но, к сожалению, этот способ помог далеко не всем.
Представители Western Digital уже опубликовали предупреждение, в котором рекомендуют всем владельцам устройств My Book Live и My Book Live Duo срочно отключить их от интернета, пока инженеры компании разбираются в проблеме.
«Western Digital установила, что некоторые устройства My Book Live были скомпрометированы вредоносным программным обеспечением. В некоторых случаях эта компрометация приводила к сбросу настроек до заводских, что, по всей видимости, стирает все данные на устройстве.
Устройства My Book Live получали последнее обновление прошивки в 2015 году. Мы понимаем, что данные наших клиентов очень важны. В настоящее время мы рекомендуем вам отключить My Book Live от интернета, чтобы защитить свои данные. Мы проводим расследование и будем обновлять эту ветку по мере появления новых данных», — пишут представители компании.
Также инженеры Western Digital сообщили СМИ, что, по их мнению, устройства были скомпрометированы с использованием некой уязвимости, так как они были подключены к интернету напрямую. Интересно, что последнее обновление прошивки для WD My Book Live вышло в 2015 году, а после этого был обнаружен критический баг CVE-2018-18472, для которого сразу появился эксплоит.
