My book live: Maintenance | Western Digital

Удаленный сброс к заводским настройкам NAS WD My Book Live

Многие пользователи сетевых накопителей My Book производства Western Digital жалуются, что их устройства были сброшены к заводским настройкам. Что еще хуже — вся информация на них внезапно пропала. Пока точно непонятно, что послужило причиной инцидента — технический сбой или атака злоумышленников, однако до выяснения обстоятельств мы рекомендуем всем владельцам отключить накопители My Book Live и My Book Live Duo от сети.

Что произошло c WD My Book Live

По информации Bleeping Computer, анализ логов пострадавших устройств показывает, что они получили удаленную команду, которая и послужила причиной сброса настроек.

На сайте поддержки Western Digital появилось сообщение, что устройства были скомпрометированы через уязвимость, допускающую удаленное исполнение кода (RCE). Предположительно виновата уязвимость CVE-2018-18472, которая была обнаружена еще в 2018 году. Проэксплуатировать ее может любой злоумышленник, узнавший точный IP-адрес устройства. При обнаружении CVE-2018-18472 ей была присвоена степень опасности 9,8 — то есть это уязвимость критического уровня.

Почему My Book Live оказались уязвимы

Устройства WD My Book представляют собой сетевые накопители (NAS), которые активно используются как домашними пользователями, так и небольшими бизнесами. Их применяют для хранения данных с возможностью удаленного доступа, а также для автоматического создания резервных копий важной информации. Устройство постоянно подключено к Интернету, а доступ к нему организовывается через облачный сервис My Book Live.

Исходя из того же сообщения Western Digital, последний раз прошивка The My Book Live и My Book Live Duo обновлялась в 2015 году. Следовательно, авторы обновления никак не могли учитывать уязвимость CVE-2018-18472.

Western Digital продолжает расследовать инцидент и обещает в ближайшее время опубликовать новые подробности.

Как защитить данные на My Book Live от удаления

Первым делом следует как можно скорее отключить My Book Live и My Book Live Duo от Интернета. Если сразу сложно разобраться, как сделать это на уровне роутера, то имеет смысл отключить накопитель от сети физически, а уже потом правильно настроить маршрутизатор. Если ваше устройство еще не сброшено к заводским настройкам, то это позволит по крайней мере сохранить информацию.

После этого остается ждать новостей от Western Digital — возможно, они найдут способ закрыть уязвимость или даже вернуть данные тех пользователей, чья информация пострадала.

В целом, мы бы рекомендовали как минимум для создания и хранения резервных копий важной информации использовать изолированные от Интернета решения. Да, с ними не получится организовать удобный удаленный доступ, зато бэкапы будут целее.

Автоматизировать создание бэкапов можно при помощи защитных решений с функцией резервного копирования.

Советы

Пять атак на аппаратные криптокошельки

Аппаратные криптокошельки эффективно защищают криптовалюту, но украсть ваши деньги могут и из них. Разберемся, от каких рисков нужно защищаться их владельцам.

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.

Подпишитесь на нашу еженедельную рассылку
  • Email*
  • *
    • Я согласен(а) предоставить мой адрес электронной почты АО “Лаборатория Касперского“, чтобы получать уведомления о новых публикациях на сайте. Я могу отозвать свое согласие в любое время, нажав на кнопку “отписаться” в конце любого из писем, отправленных мне по вышеуказанным причинам.

инцидент с удаленным стиранием данных My Book Live и My Book Live Duo — это хакерская атака на пользователей / Хабр

denis-19

Время на прочтение 2 мин

Количество просмотров

6.7K

Информационная безопасность *Хранилища данных *Облачные сервисы *Старое железо IT-компании

25 июня 2021 года WD рассказала о первых результатах расследования с инцидентом по удаленному стиранию данных с My Book Live и My Book Live Duo.

По мнению компании, злоумышленники смогли непонятным образом использовать уязвимость в сетевых хранилищах My Book Live и My Book Live Duo и подключиться к ним удаленно для выполнения команды сброса до заводских настроек, стирания данных и установки зловреда. Подверженные атаке устройства хранения были или остаются напрямую доступны из Интернета, либо через прямое соединение, либо через переадресацию портов, включенную вручную или автоматически через UPnP. WD просит всех пользователей My Book Live и My Book Live Duo срочно отключить незатронутые атакой сетевые хранилища от внешней сети.

В ходе продолжающейся атаки злоумышленники сканируют сеть Интернет на наличие открытых портов к интерфейсам доступа к My Book Live и My Book Live Duo. По мнению Bleeping Computer, для атаки используется критическая уязвимость CVE-2018-18472, которую с 2018 года производитель WD так и не пропатчил на пострадавших хранилищах, хотя вместе к ней был даже выпущен публичный экспериментальный эксплойт.

Специалисты WD обнаружили, что в ходе атаки на сетевые хранилища пользователей хакеры устанавливают троян «.nttpd, 1-ppc-be-t1-z» — это двоичный файл ELF Linux, скомпилированный для архитектуры PowerPC, которая используется в My Book Live и Live Duo. Образец этого трояна сейчас исследуется антивирусными сервисами.


Пользователь на форуме WD рассказал, что на его My Book Live за последние 24 часа было очень много попыток захода из рандомных источников.

Примечательно, что после совершения атаки владельцы сетевых хранилищ не могут зайти на устройство через браузер или приложение WD My Book Live, так как их старые пароли не принимаются. Штатный пароль по умолчанию также не принимается. Единственный вариант — во время активации устройства нажать на кнопку Reset на 4 секунды, тогда устройство сбрасывает пароль до заводского.

В настоящее время специалисты WD получили образец неисправного устройства после атаки и изучают его. Кроме того, некоторые пользователи сообщили компании, что определенные инструменты восстановления данных помогают вернуть информацию после сброса устройств в ходе атаки. WD анализирует эффективность этих инструментов и предоставит инструкцию клиентам, если она будет эффективна.

Серия сетевых хранилищ WD My Book Live стала доступна пользователям в 2010 году. Последнее обновление прошивки для этих устройств было выпущено в 2015 году.

24 июня 2021 года пользователи сетевых систем хранения данных WD My Book Live стали массово жаловаться на то, что неизвестные злоумышленники каким-то образом взламывают их учетные записи в штатном приложении WD My Book Live и удаленно сбрасывают устройства к заводским настройкам с полной потерей данных.

Теги:

  • WD
  • My Book Live
  • My Book Live Duo

Хабы:

  • Информационная безопасность
  • Хранилища данных
  • Облачные сервисы
  • Старое железо
  • IT-компании

Всего голосов 16: ↑16 и ↓0 +16

Комментарии 17

Денис @denis-19

Информационная служба Хабра

«Я совсем облажался». Пользователи WD My Book Live просыпаются и обнаруживают, что их данные удалены

Western Digital

Western Digital, производитель популярных внешних жестких дисков My Disk, рекомендует клиентам отключать устройства хранения My Book Live от Интернета до дальнейшего уведомления в то время как инженеры компании расследуют необъяснимые компрометации, которые полностью стерли данные с устройств по всему миру.

О массовых случаях очистки диска стало известно из этой темы на форуме поддержки Western Digital. Пока нет сообщений о том, что удаленные данные впоследствии восстанавливаются.

Все мои данные утеряны

«У меня есть WD mybook live, подключенный к моей домашней локальной сети, и он отлично работал в течение многих лет», — написал человек, начавший тему. «Я только что обнаружил, что каким-то образом все данные на нем сегодня исчезли, а каталоги вроде бы есть, но пустые. Раньше объем 2T был почти заполнен, но теперь он показывает полную мощность».

Другие пользователи My Book Live быстро присоединились к разговору, чтобы сообщить, что они тоже испытали то же самое. «Все мои данные тоже исчезли», — вскоре ответил один из пользователей. «Я полностью облажался без этих данных… годы».

Несколько пользователей сообщили, что потеря данных совпала со сбросом настроек на их устройствах. Один человек опубликовал журнал, который показал необъяснимое поведение, происходящее в среду:

23 июня 15:14:05 MyBookLive factoryRestore.sh: start script:
23 июня 15:14:05 MyBookLive shutdown[24582]: выключение для перезагрузки системы
23 июня 16:02:26 MyBookLive S15mountDataVolume. sh: start script: start
23 июня 16:02:29 MyBookLive _: pkg: wd-nas
23 июня 16:02:30 MyBookLive _: pkg: сеть-общая
23 июня 16:02:30 MyBookLive _: pkg: apache-php-webdav
23 июня 16:02:31 MyBookLive _: pkg: дата-время
23 июня 16:02:31 MyBookLive _: pkg: оповещения
июня 23 16:02:31 MyBookLive logger: hostname=MyBookLive

Jun 23 16:02:32 MyBookLive _: pkg: admin-rest-api

«Я считаю, что это является причиной того, почему это происходит», — написал человек. «В это время никого даже не было дома, чтобы использовать этот диск».

Реклама

The My Book — это популярное запоминающее устройство для потребителей и предприятий. Он подключается к компьютерам, как правило, через USB. Затронутая модель, известная как My Book Live, использует кабель Ethernet для подключения к локальной сети. Оттуда пользователи могут удаленно получать доступ к своим файлам и вносить изменения в конфигурацию через облачную инфраструктуру Western Digital. Western Digital прекратила поддержку My Book Live в 2015 году. Впервые о ветке форума поддержки сообщил Bleeping Computer.

Отключить сейчас

На своем веб-сайте компания Western Digital посоветовала клиентам отключить свои устройства My Book Live, чтобы предотвратить дальнейшие атаки, пока компания расследует массовую очистку данных.

В электронном письме представители Western Digital написали:

Компания Western Digital активно расследует этот инцидент. У нас нет никаких признаков взлома или компрометации облачных сервисов или систем Western Digital.

Мы определили, что некоторые устройства My Book Live были скомпрометированы злоумышленником. В некоторых случаях этот взлом приводил к сбросу настроек, который, по-видимому, стирал все данные на устройстве. Устройство My Book Live получило последнее обновление прошивки в 2015 году.

В настоящее время мы рекомендуем клиентам отключать свои устройства My Book Live от Интернета, чтобы защитить свои данные на устройстве.

Мы выпустили следующее заявление для наших клиентов и будем предоставлять обновления в этой теме, когда они будут доступны: https://community.wd.com/t/action-required-on-my-book-live-and-my- book-live-duo/268147

Ограниченная информация, доступная на данный момент, затрудняет определение причин массового уничтожения данных. В заявлении Western Digital, похоже, говорится, что учетные записи клиентов были взломаны по отдельности. Совет отключать устройства, пока продолжается расследование, оправдан, и пользователи должны следовать ему как можно скорее.

Тем временем пользователи My Book Live пытаются справиться с трудностями, вызванными инцидентом.

«Это очень страшно и разрушительно, что кто-то может восстановить заводские настройки на моем диске без разрешения конечного пользователя», — написал один из пользователей. «Мне нужно немедленно решить эту проблему, так как это уже дорого обошлось мне».

Сообщение обновлено, чтобы подчеркнуть, что затронуты только устройства My Book Live.

WD My Book Live Security Fix

Если у вас есть сетевое хранилище WD My Book Live, возможно, вы получили электронное письмо от WD с просьбой отключить его от Интернета, подобное этому….

У Western Digital есть важное объявление для зарегистрированных клиентов My Book Live или My Book Live Duo.

Немедленно отключите устройство My Book Live от Интернета, чтобы защитить свои данные от продолжающихся атак. Вы можете отключить устройство и продолжить локальный доступ к своим данным, следуя этим инструкциям в нашей базе знаний.

Некоторые устройства My Book Live, подключенные к Интернету, подвергаются взлому со стороны злоумышленников, а в некоторых случаях злоумышленники инициировали сброс к заводским настройкам, который, как представляется, стирает все данные на устройстве.

Недавно обнаруженная уязвимость CVE-2021-35941

Электронная почта от Western Digital

Если вы прочтете инструкции в базе знаний Western Digital, там будет упомянуто, что вам нужно физически отключить кабель Ethernet от устройства. Есть и другие варианты, которые позволят вам продолжать использовать свое устройство и оставаться полностью защищенными. Это то, что вы должны сделать, чтобы избежать компрометации вашего WD My Book Live NAS.

Исправьте WD My Book Live за 3 простых шага
  • Отключите автоматическое обновление
  • Отключить удаленный доступ
  • Удалить доступ вашего NAS к шлюзу


Исправление безопасности WD My Book Live NAS

После внесения этих изменений в настройки WD My Book Live NAS доступ к Интернету будет отключен, но NAS по-прежнему будет иметь статический IP-адрес в сети. Это позволит вам получить доступ к вашему NAS ТОЛЬКО из вашей домашней или офисной сети без доступа снаружи вашего брандмауэра. Единственный способ, которым хакер может получить доступ к NAS, — это получить доступ к внутренней части вашей сети и начать атаку из вашей частной сети, которую вы должны защитить через свой брандмауэр. Если в вашей сети есть неавторизованный пользователь, у вас есть более серьезные проблемы, чем беспокойство о вашем устройстве хранения WD My Book Live.


1. Отключить автоматические обновления

Первое, что вам нужно сделать, это войти в веб-интерфейс вашего WD My Book Live NAS и перейти в «Настройки» -> «Система» -> «Обновления». Убедитесь, что «Автообновление» отключено, как показано на диаграмме ниже.


2. Отключить удаленный доступ

Следующее, что нужно сделать, это отключить удаленный доступ. Для этого перейдите в «Настройки» -> «Система» -> «Удаленный доступ» и установите флажок «Удаленный доступ», как показано на схеме ниже. Это отключит возможность подключения к вашему NAS через протокол WD и APP. Они очень небезопасны и не должны использоваться в любом случае.

3. Удалить доступ к вашему шлюзу

Последнее, что нужно сделать, это лишить вашего NAS доступа к Интернету. Для этого просто перейдите в «Настройки» -> «Система» -> «Сеть», а затем.

Если у вас включен DHCP, измените его на Static и назначьте вашему устройству статический IP-адрес в сети, как показано на схеме ниже. Конечно, это должно быть в вашей подсети, например 192.168.0.???. В моем случае у меня 10.0.0.33. Если вы оставите настройку DHCP, DHCP-сервер (обычно ваш маршрутизатор) предоставит вашему устройству IP-адрес, а также информацию о шлюзе и DNS. При использовании параметра «Статический» у вас будет возможность удалить шлюз, и ваш WD NAS не будет знать, как получить доступ к Интернету. На мой взгляд, все NAS в любом случае должны иметь статический IP-адрес, поскольку они являются фиксированными устройствами, которые не меняются в вашей сети.


Хотя это простое исправление, оно даст вам некоторое время, чтобы хотя бы удалить данные с NAS и переместить их на более надежное и безопасное устройство. WD My Book Live — устаревший продукт, и, вероятно, его лучше обновить в любом случае.

Наслаждайтесь!

Кластерные сети

Компания Clustered Networks, расположенная в Эдмонтоне, Канада, была зарегистрирована в 2001 году и уже более 20 лет предлагает услуги в области сети/Интернета и ИТ-консалтинга.

alexxlab

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *