Cybercrooks 通過遠程代碼執行擦除數以千計的 WD NAS 設備
一個未修補的零日漏洞允許黑客在數以千計的西部數據 NAS 設備中觸發出廠重置。結果,My Book Live 和 My Book Live DUO 的所有者丟失了所有存儲的數據。據報導,在遊戲中的騙子使用全球範圍內的大量隨機選擇的 IP 地址成功地與每個受影響的設備建立了直接或間接(通過端口轉發)連接之後,就發生了清除。雖然西部數據的官員目前正在調查這個問題,但他們已經明確表示,攻擊沒有顯示出在其基於雲的環境、固件或客戶數據服務器中蔓延的跡象。但是,他們已建議所有 My Book Live 和 My Book Live Duo NAS 用戶在補丁發布之前將其設備與網絡斷開連接。
目錄
與舊缺陷的潛在聯繫
WD 的 NAS 設備固件自 2015 年以來沒有得到任何更新。 三年後,據稱一個網絡團伙發現了一個安全漏洞,允許在任何在線 My Book Live 和 My Book Live Duo NAS 設備上遠程執行代碼。西部數據的研究人員懷疑,惡意軟件攻擊者可能會掃描 Web 以查找易受攻擊的外圍設備,並發現了許多 My Book Live 和 My Book Live Duo 設備的 IP 地址。
根據 CVE-2018-18472 提交的安全漏洞目前正在接受新的分析,以查看如果被錯誤的人利用它可能帶來的其他損害。
混合成功的數據恢復
雖然一些受影響的 WD NAS 所有者已成功使用 PhotoRec 等數據恢復工具來取回部分數據,但其他人尚未取得如此成功。這家美國數據驅動器製造商目前正在測試各種數據恢復工具,看看哪些有效,哪些無效。我們尚未看到替代數據恢復軟件的有效性。在此之前,完全數據恢復的前景似乎充其量仍是黯淡的。
沒有贖金記錄
儘管數以千計的 NAS 所有者遭受了完全的數據丟失,但沒有人收到贖金通知,這意味著攻擊者可能只是為了讓受害者失去他們的文件。西部數據也沒有報告任何要求的贖金。然而,威脅是真實的,損害是事實。更重要的是,即使受影響的 WD NAS 設備都使用防火牆和基於雲的安全通信通道,數據丟失還是發生了。
此類事件凸顯了在數據存儲方面需要多管齊下的方法。僅使用一種介質,無論是否基於雲,可能不再足以防止潛在的損失。這就是為什麼我們建議在多個在線和離線媒體上進行定期備份,以將數據丟失的風險降至最低。