WD证实骇客滥用My Book Live系列NAS漏洞，用户资料遭到删除

West Digital（WD）储存装置一项存在近3年的漏洞遭到骇客开采，导致部分用户资料全数被清空。

West Digital（WD）储存装置WD My Book Live、My Book Live Duo为WD推出可置于桌上的小型NAS设备。它让使用者可透过App或Web界面存取档案。

但上周有WD用户反映，他的WD My Book Live装置储存多年的资料都没了，虽然还留有目录，但全部都是空的。2TB储存空间显示全满。此外他也无法以预设admin或变更过的密码登入控制UI，仅能在某个登入页面输入“owner password”

另一名用户更发现，有人可不经任何许可，而能远端将装置回复到出厂设定，相信是资料被清空的原因。

WD随后说明，经过研究，该公司判断My Book Live、My Book Live Duo装置一个远端程式码执行漏洞（RCE）漏洞CVE-2018-18472遭到开采，在某些情况下，攻击者可触发回复出厂设定，可能是所有资料被抹除的主因。

WD检视一些客户的登入档，发现攻击者在不同国家多个不同IP地址连上My Book Live，显示它们是可由互联网直接存取，可能是直接连线，或是透过UPnP手动或自动传输埠转发（port forwarding）功能而连结。登录档显示有些装置甚至遭植入木马程式.nttpd,1-ppc-be-t1-z，这是专为My Book Live及Live Duo的PowerPC处理器架构而组译的Linux ELF二进制档。这只恶意程式也被上传到了VirusTotal。

受影响的产品包括2010年出售的My Book Live系列，这些装置自2015年起就未再接获固件更新。他们呼吁My Book Live和My Book Live Duo客户尽速从网络拉下线，以免资料受害。

根据CVE-2018-18472的漏洞描述，该RCE漏洞位于/api/1.0/rest/language_configuration的语言参数的shell metacharacter中，可被知道装置IP的人开采，以发送回复出厂设定指令。

另有用户通报，一些资料回复工具可以恢复受影响装置的资料，WD也正在研究之中。

WD强调尚未发现WD云端服务、固件更新服务器或客户登入密码等被开采的证据。其中许多用户担心的My Cloud OS 5 和 My Cloud Home装置系列，因为采取更新的安全架构，并不受影响。WD也呼吁My Cloud OS 3用户升级到OS 5。

 参考资料 

Recommended Security Measures for WD My Book Live and WD My Book Live Duo (2021/06/24发布，06/25更新）

How to Access a My Book Live When Connected Directly to a Computer(2021/06/25发布，06/26更新）