Сетевые хранилища Western Digital (WD) атаковал неизвестный вирус, который удаляет пользовательские данные, сбрасывая настройки хранилища до заводских. Представители WD попросили всех пользователей My Book Live и My Book Live Duo отключить сетевые хранилища от внешней сети.
Многие пользователи WD My Book Live получили 23 июня 2021 году внешнюю команду сброса настроек до заводских. Другие устройства, по мере того, как становятся доступными, продолжают получать команду.
Вот как выглядят данные из файла user.log
, обнаруженные одним из пользователей после атаки:
Jun 23 15:14:05 MyBookLive factoryRestore.sh: begin script: Jun 23 15:14:05 MyBookLive shutdown[24582]: shutting down for system reboot Jun 23 16:02:26 MyBookLive S15mountDataVolume.sh: begin script: start Jun 23 16:02:29 MyBookLive _: pkg: wd-nas Jun 23 16:02:30 MyBookLive _: pkg: networking-general Jun 23 16:02:30 MyBookLive _: pkg: apache-php-webdav Jun 23 16:02:31 MyBookLive _: pkg: date-time Jun 23 16:02:31 MyBookLive _: pkg: alerts Jun 23 16:02:31 MyBookLive logger: hostname=MyBookLive Jun 23 16:02:32 MyBookLive _: pkg: admin-rest-api
В компании считают, что устройства подверглись атаке неизвестных хакеров, потому что последнее обновление прошивки для My Book Live вышло в 2015 и происходящее не может быть связано с ней. По мнению пользователей, была скомпрометирована облачная система WD, которая отвечает за диагностику и доступ к открытым и зарегистрированным в ней устройствам WD My Book Live.
Судя по комментариям пользователей, единственный способ восстановить данные — вытащить диск и прогнать какой-нибудь программой восстановления, но есть вероятность, что это не поможет.
Инструкции для исправления уязвимости безопасности CVE-2018-18472
опубликовал пользователь под ником dracenmarx. Вот что нужно сделать:
nano
);/var/www/Admin/webapp/includes/languageConfiguration.php
.exec("sudo bash -c '(echo \"language {$changes["language"]}\">/etc/language.conf)'", $output, $retVal);
if (!preg_match('/^[a-z]{2}_[A-Z]{2}$/', $changes["language"], $dummy)) return 'BAD_REQUEST'; exec("sudo bash -c '(echo '\"'\"".escapeshellarg("language {$changes["language"]}")."\"'\"'>/etc/language.conf)'", $output, $retVal);
exec("sudo bash -c '(echo \"language {$lang["language"]}\">/etc/language.conf)'", $output, $retVal);
if (!preg_match('/^[a-z]{2}_[A-Z]{2}$/', $lang["language"], $dummy)) return 'BAD_REQUEST'; exec("sudo bash -c '(echo '\"'\"".escapeshellarg("language {$lang["language"]}")."\"'\"'>/etc/language.conf)'", $output, $retVal);
По словам dracenmarx, в WD якобы знали об ошибке в 2018 году. Также разработчик обнаружил, что компания было известно об эксплойте с марта 2014 года, но она ничего не сделала.
В качестве дополнительных действий для безопасности dracenmarx советует:
/usr/local/sbin/factoryRestore.sh» и «wipeFactoryRestore.sh
и измените строку №2 для exit
.Сегодня мы поговорим о том, как выбрать лучшие курсы Power BI в Украине, особенно для…
В 2023 году во всех крупнейших регионах конкуренция за вакансию выросла на 5–12%. Не исключением…
Unicorn Hunter/Talent Manager Лина Калиш создала бесплатный трекер поиска работы в Notion, систематизирующий все этапы…
Edtech-стартап Mate academy принял решение отправить своих работников в десятидневный отпуск – с 25 декабря…
Служба безопасности Украины задержала в Киеве 46-летнего программиста, который за деньги устанавливал шпионские программы и…
IT-специалист Джордан Катлер создал и выложил на Github подборку разнообразных ресурсов, которые помогут достичь уровня…