Wd live duo: Western Digital My Book Live Duo — «облачный» NAS / Накопители

В удалении данных с хранилищ WD My Book Live виновата уязвимость нулевого дня в старой прошивке, а не баг 2018 года / Хабр

denis-19

Информационная безопасность *Хранение данных *Облачные сервисы *Старое железо IT-компании

После инцидента владельцы сетевых хранилищ не могли зайти на устройство через браузер или приложение WD My Book Live, так как их старые пароли не принимаются. Штатный пароль по умолчанию также не принимался, помогал только сброс вручную, все данные на устройстве были потеряны.

30 июня 2021 года WD признала, что в удалении данных с хранилищ WD My Book Live и Live Duo виновата обнаруженная недавно злоумышленниками уязвимость нулевого дня CVE-2021-35941 в текущей прошивке устройств, снятых с поддержки в 2015 году, а не критическая уязвимость CVE-2018-18472, которую с 2018 года производитель WD так и не пропатчил на пострадавших хранилищах, хотя вместе к ней был даже выпущен публичный экспериментальный эксплойт.



Специалисты ИБ-компании Censys обнаружили, что последняя прошивка WD My Book Live и Live Duo, выпущенная в 2015 году, содержала уязвимость нулевого дня, которая позволяла удаленно подключится в хранилищу любому пользователю без аутентификации и выполнить сброс устройства к заводским настройкам, а также стереть все данные на нем в ходе этого процесса. Вдобавок эта уязвимость могла использоваться хакерами для запуска произвольных команд на устройствах с привилегиями root.


Фактически это ошибка разработчиков WD. Они некорректно закомментировали в скрипте system_factory_restore часть проверок с процедурами аутентификации.

В настоящее время более 36 тыс. устройств WD My Book Live и Live Duo по всему миру остаются открытыми в сети и могут быть атакованы злоумышленниками или уже прошли этап заражения зловредным ПО. В ходе атаки на сетевые хранилища пользователей хакеры устанавливают троян «.nttpd, 1-ppc-be-t1-z» — это двоичный файл ELF Linux, скомпилированный для архитектуры PowerPC, которая используется в My Book Live и Live Duo.

Образец этого трояна сейчас исследуется антивирусными сервисами.

В своей публикации компания WD рассказала, что проблема с прошивкой полностью ее вина, компания предоставит уже в июле, по возможности, всем пострадавшим пользователям доступ к инструментам по восстановлению данных, если этот процесс на их устройствах еще можно выполнить. Также WD предложит пострадавшим пользователям большую скидку на покупку нового устройства WD серии My Cloud.

24 июня 2021 года пользователи сетевых систем хранения данных WD My Book Live стали массово жаловаться на то, что неизвестные злоумышленники каким-то образом взламывают их учетные записи в штатном приложении WD My Book Live и удаленно сбрасывают устройства к заводским настройкам с полной потерей данных. WD попросила всех пользователей My Book Live и My Book Live Duo срочно отключить незатронутые атакой сетевые хранилища от внешней сети.

25 июня 2021 года WD заявила, что инцидент с удаленным стиранием данных My Book Live и My Book Live Duo — это хакерская атака на пользователей.

Теги:

  • WD
  • My Book Live
  • My Book Live Duo

Хабы:

  • Информационная безопасность
  • Хранение данных
  • Облачные сервисы
  • Старое железо
  • IT-компании

Всего голосов 9: ↑9 и ↓0 +9

Просмотры

4.3K

Комментарии 2

Денис @denis-19

Информационная служба Хабра

Комментарии Комментарии 2

инцидент с удаленным стиранием данных My Book Live и My Book Live Duo — это хакерская атака на пользователей / Хабр

denis-19

Информационная безопасность *Хранилища данных *Облачные сервисы *Старое железо IT-компании

25 июня 2021 года WD рассказала о первых результатах расследования с инцидентом по удаленному стиранию данных с My Book Live и My Book Live Duo.

По мнению компании, злоумышленники смогли непонятным образом использовать уязвимость в сетевых хранилищах My Book Live и My Book Live Duo и подключиться к ним удаленно для выполнения команды сброса до заводских настроек, стирания данных и установки зловреда. Подверженные атаке устройства хранения были или остаются напрямую доступны из Интернета, либо через прямое соединение, либо через переадресацию портов, включенную вручную или автоматически через UPnP. WD просит всех пользователей My Book Live и My Book Live Duo срочно отключить незатронутые атакой сетевые хранилища от внешней сети.


В ходе продолжающейся атаки злоумышленники сканируют сеть Интернет на наличие открытых портов к интерфейсам доступа к My Book Live и My Book Live Duo. По мнению Bleeping Computer, для атаки используется критическая уязвимость CVE-2018-18472, которую с 2018 года производитель WD так и не пропатчил на пострадавших хранилищах, хотя вместе к ней был даже выпущен публичный экспериментальный эксплойт.

Специалисты WD обнаружили, что в ходе атаки на сетевые хранилища пользователей хакеры устанавливают троян «.nttpd, 1-ppc-be-t1-z» — это двоичный файл ELF Linux, скомпилированный для архитектуры PowerPC, которая используется в My Book Live и Live Duo. Образец этого трояна сейчас исследуется антивирусными сервисами.


Пользователь на форуме WD рассказал, что на его My Book Live за последние 24 часа было очень много попыток захода из рандомных источников.

Примечательно, что после совершения атаки владельцы сетевых хранилищ не могут зайти на устройство через браузер или приложение WD My Book Live, так как их старые пароли не принимаются. Штатный пароль по умолчанию также не принимается. Единственный вариант — во время активации устройства нажать на кнопку Reset на 4 секунды, тогда устройство сбрасывает пароль до заводского.

В настоящее время специалисты WD получили образец неисправного устройства после атаки и изучают его. Кроме того, некоторые пользователи сообщили компании, что определенные инструменты восстановления данных помогают вернуть информацию после сброса устройств в ходе атаки. WD анализирует эффективность этих инструментов и предоставит инструкцию клиентам, если она будет эффективна.

Серия сетевых хранилищ WD My Book Live стала доступна пользователям в 2010 году. Последнее обновление прошивки для этих устройств было выпущено в 2015 году.

24 июня 2021 года пользователи сетевых систем хранения данных WD My Book Live стали массово жаловаться на то, что неизвестные злоумышленники каким-то образом взламывают их учетные записи в штатном приложении WD My Book Live и удаленно сбрасывают устройства к заводским настройкам с полной потерей данных.

Теги:

  • WD
  • My Book Live
  • My Book Live Duo

Хабы:

  • Информационная безопасность
  • Хранилища данных
  • Облачные сервисы
  • Старое железо
  • IT-компании

Всего голосов 16: ↑16 и ↓0 +16

Просмотры

6.5K

Комментарии 17

Денис @denis-19

Информационная служба Хабра

Комментарии Комментарии 17

Ошибка, связанная с сетью или экземпляром, при установлении соединения с SQL Server.

Сервер не найден или не был доступен. Убедитесь, что имя экземпляра указано правильно и что SQL Server настроен на разрешение удаленных подключений. (поставщик: SQL Network Interfaces, ошибка: 26

Сведения об исключении: System.Data.SqlClient.SqlException: при установлении соединения с SQL Server произошла ошибка, связанная с сетью или экземпляром. Сервер не найден или недоступен. Убедитесь, что имя экземпляра указано правильно и что SQL Server настроен на разрешение удаленных подключений (поставщик: Сетевые интерфейсы SQL, ошибка: 26 — Ошибка обнаружения указанного сервера/экземпляра)

[SqlException (0x80131904): ошибка, связанная с сетью или конкретным экземпляром, при установлении соединения с SQL Server. Сервер не найден или не был доступен. Убедитесь, что имя экземпляра указано правильно и что SQL Server настроен на разрешение удаленных подключений. (поставщик: сетевые интерфейсы SQL, ошибка: 26 — ошибка при обнаружении указанного сервера/экземпляра)]
   System.
Data.SqlClient.SqlInternalConnectionTds..ctor (удостоверение DbConnectionPoolIdentity, SqlConnectionString connectionOptions, учетные данные SqlCredential, Object providerInfo, String newPassword, SecureString newSecurePassword, Boolean redirectedUserInstance, SqlConnectionString userConnectionOptions, SessionData reconnectSessionData, Dbault1TransientFandling8 pool, String accessToken, Boolean accessToken System.Data.SqlClient.SqlConnectionFactory.CreateConnection (параметры DbConnectionOptions, DbConnectionPoolKey poolKey, Object poolGroupProviderInfo, пул DbConnectionPool, DbConnection owningConnection, DbConnectionOptions userOptions) +470 System.Data.ProviderBase.DbConnectionFactory.CreatePooledConnection(пул DbConnectionPool, DbConnection owningObject, параметры DbConnectionOptions, DbConnectionPoolKey poolKey, DbConnectionOptions userOptions) +70 System.Data.ProviderBase.DbConnectionPool.CreateObject(DbConnection owningObject, DbConnectionOptions userOptions, DbConnectionInternal oldConnection) +945 System.
Data.ProviderBase.DbConnectionPool.UserCreateRequest(DbConnection owningObject, DbConnectionOptions userOptions, DbConnectionInternal oldConnection) +114 System.Data.ProviderBase.DbConnectionPool.TryGetConnection(DbConnection owningObject, UInt32 waitForMultipleObjectsTimeout, логическое значение allowCreate, логическое значение onlyOneCheckConnection, DbConnectionOptions userOptions, DbConnectionInternal& соединение) +1637 System.Data.ProviderBase.DbConnectionPool.TryGetConnection(DbConnection owningObject, TaskCompletionSource`1 повторная попытка, DbConnectionOptions userOptions, DbConnectionInternal& соединение) +117 System.Data.ProviderBase.DbConnectionFactory.TryGetConnection(DbConnection owningConnection, TaskCompletionSource`1 повторная попытка, DbConnectionOptions userOptions, DbConnectionInternal oldConnection, DbConnectionInternal& соединение) +267 System.Data.ProviderBase.DbConnectionInternal.TryOpenConnectionInternal (DbConnection externalConnection, DbConnectionFactory connectionFactory, TaskCompletionSource`1 повтор, DbConnectionOptions userOptions) +318 System.
Data.SqlClient.SqlConnection.TryOpenInner(TaskCompletionSource`1 повторная попытка) +132 System.Data.SqlClient.SqlConnection.TryOpen(TaskCompletionSource`1 повторная попытка) +246 Система.Данные.SqlClient.SqlConnection.Open() +122 AWS_WD.Error.noPageFound.Page_Load (отправитель объекта, EventArgs e) в E:\OSC\Support.wdc.com\Error\noPageFound.aspx.cs:106 System.Web.UI.Control.OnLoad(EventArgs e) +109System.Web.UI.Control.LoadRecursive() +68 System.Web.UI.Page.ProcessRequestMain (логическое значение includeStagesBeforeAsyncPoint, логическое значение includeStagesAfterAsyncPoint) +1436

При установлении соединения с SQL Server произошла ошибка, связанная с сетью или экземпляром. Сервер не найден или не был доступен. Убедитесь, что имя экземпляра указано правильно и что SQL Server настроен на разрешение удаленных подключений. (поставщик: Сетевые интерфейсы SQL, ошибка: 26

При установлении соединения с SQL Server произошла ошибка, связанная с сетью или конкретным экземпляром. Сервер не найден или не был доступен. Убедитесь, что имя экземпляра указано правильно и что SQL Server настроен на разрешение удаленных подключений. (поставщик: Сетевые интерфейсы SQL, ошибка: 26 — Ошибка при обнаружении указанного сервера/экземпляра)

Ошибка, связанная с сетью или экземпляром, при установлении соединения с SQL Server. Сервер не найден или не был доступен. Убедитесь, что имя экземпляра указано правильно и что SQL Server настроен на разрешение удаленных подключений. (поставщик: SQL Network Interfaces, ошибка: 26 — Ошибка при обнаружении указанного сервера/экземпляра) Описание: Произошло необработанное исключение во время выполнения текущего веб-запроса. Пожалуйста, просмотрите трассировку стека для получения дополнительной информации об ошибке и о том, где она возникла в коде.

Сведения об исключении: System.Data.SqlClient.SqlException: при установлении соединения с SQL Server произошла ошибка, связанная с сетью или экземпляром. Сервер не найден или не был доступен. Убедитесь, что имя экземпляра указано правильно и что SQL Server настроен на разрешение удаленных подключений. (поставщик: SQL Network Interfaces, ошибка: 26 — Ошибка при обнаружении указанного сервера/экземпляра)

Ошибка источника:

Во время выполнения текущего веб-запроса возникло необработанное исключение. Информацию о происхождении и расположении исключения можно определить с помощью приведенной ниже трассировки стека исключений.

Трассировка стека:
[SqlException (0x80131904): при установлении соединения с SQL Server произошла ошибка, связанная с сетью или конкретным экземпляром. Сервер не найден или не был доступен. Убедитесь, что имя экземпляра указано правильно и что SQL Server настроен на разрешение удаленных подключений.  (поставщик: сетевые интерфейсы SQL, ошибка: 26 — ошибка при обнаружении указанного сервера/экземпляра)]
   System.Data.ProviderBase.DbConnectionPool.TryGetConnection(DbConnection owningObject, UInt32 waitForMultipleObjectsTimeout, логическое значение allowCreate, логическое значение onlyOneCheckConnection, DbConnectionOptions userOptions, DbConnectionInternal& соединение) +356
   System.Data.ProviderBase.DbConnectionPool.TryGetConnection(DbConnection owningObject, TaskCompletionSource`1 повторная попытка, DbConnectionOptions userOptions, DbConnectionInternal& соединение) +117
   System.Data.ProviderBase.DbConnectionFactory.TryGetConnection(DbConnection owningConnection, TaskCompletionSource`1 повторная попытка, DbConnectionOptions userOptions, DbConnectionInternal oldConnection, DbConnectionInternal& соединение) +267
   System.Data.ProviderBase.DbConnectionInternal.TryOpenConnectionInternal (DbConnection externalConnection, DbConnectionFactory connectionFactory, TaskCompletionSource`1 повтор, DbConnectionOptions userOptions) +318
   System.
	    
	    	
	

alexxlab

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *