↓
 ↑
Регистрация
Имя/email

Пароль

 
Войти при помощи
Marlagram
26 июня 2021
Aa Aa
Western Digital стер данные с большинства пользовательских NAS
...
Во-первых: если у вас есть любой NAS от WD - то лучше всего немедленно отключить его от сети. Обновление окирпичивающее NAS и удаляющее все данные начало прилетать вчера, мне прилетело сегодня утром. Домашние NAS от WD продаются последние лет 10.
Точно зааффекчина вся live серия. Судя по комментам отдельные другие серии тоже пострадали.

*WD уверяет что это все хакерская атака. Но выглядит сомнительно. У многих людей NAS за фаерволом, отключен от внешних серверов WD, и т.д.
...
Ах да, реакция была, но не на видном месте.

Пост на форуме, куда попадают люди пытающиеся понять что происходит. Тема на Реддите.
Статьи по теме 1, 2, 3.

Если вам нужно срочно восстановить данные, то судя по комментариям единственный способ сделать это - вытащить диск и прогнать какой-нибудь программой восстановления.

Судя по всему, на разных устройствах все проявляется по разному. У кого-то остается интерфейс и исчезают данные, у кого-то полное окирпичивание. Кто-то может зайти по SSH, кто-то нет.
...
WD: инцидент с удаленным стиранием данных My Book Live и My Book Live Duo — это хакерская атака на пользователей
...
25 июня 2021 года WD рассказала о первых результатах расследования с инцидентом по удаленному стиранию данных с My Book Live и My Book Live Duo.

По мнению компании, злоумышленники смогли непонятным образом использовать уязвимость в сетевых хранилищах My Book Live и My Book Live Duo и подключиться к ним удаленно для выполнения команды сброса до заводских настроек, стирания данных и установки зловреда. Подверженные атаке устройства хранения были или остаются напрямую доступны из Интернета, либо через прямое соединение, либо через переадресацию портов, включенную вручную или автоматически через UPnP. WD просит всех пользователей My Book Live и My Book Live Duo срочно отключить незатронутые атакой сетевые хранилища от внешней сети.

В ходе продолжающейся атаки злоумышленники сканируют сеть Интернет на наличие открытых портов к интерфейсам доступа к My Book Live и My Book Live Duo. По мнению Bleeping Computer, для атаки используется критическая уязвимость CVE-2018-18472, которую с 2018 года производитель WD так и не пропатчил на пострадавших хранилищах, хотя вместе к ней был даже выпущен публичный экспериментальный эксплойт.

Специалисты WD обнаружили, что в ходе атаки на сетевые хранилища пользователей хакеры устанавливают троян «.nttpd, 1-ppc-be-t1-z» — это двоичный файл ELF Linux, скомпилированный для архитектуры PowerPC, которая используется в My Book Live и Live Duo. Образец этого трояна сейчас исследуется антивирусными сервисами.
...

Репутация, говорили они...
И ведь никто не будет компенсировать утерянные данные пользователям (за возможным исключением некоторых избранных стран, и то очень не сразу - а через групповой иск и всё такое).

PS
В атаке на сетевые хранилища WD хакеры пользовались системным скриптом, в котором была удалена проверка пароля
...
Теперь же стало известно, что хакеры использовали уязвимость нулевого дня, эксплуатация которой позволяет удалённо сбросить настройки упомянутых сетевых хранилищ до заводских.
...
Эта уязвимость примечательна тем, что с её помощью злоумышленники без особого труда смогли уничтожить петабайты пользовательских данных. Ещё более примечательно то, что разработчики WD по неизвестным причинам избавились от функции проверки имени пользователя и пароля при выполнении команды на сброс настроек. Недокументированная уязвимость находится в файле прошивки system_factory_restore, который содержит в себе сценарий PHP для сброса настроек до заводских с полным удалением хранящихся данных.

Обычно для выполнения команды на сброс настроек требуется подтверждение данного действия паролем. В этом случае ввод пароля является гарантией, что настройки подключённого к интернету устройства не будут сброшены удалённо злоумышленником. В упомянутом файле сценария содержатся пять строк кода, которые отвечают за вывод запроса на подтверждение сброса настроек паролем. Однако по неизвестным причинам эта часть кода оказалась закомментирована разработчиками.
...
Информация о недокументированной уязвимости появилась через несколько дней после атаки вредоносного ПО. Ранее WD объявила о том, что для сброса настроек сетевых хранилищ хакеры использовали старую уязвимость CVE-2018-18472, которая позволяет осуществить удалённое выполнение кода. Хотя об этой уязвимости стало известно ещё в 2018 году, WD так и не исправила её, поскольку поддержка устройств My Book Live была прекращена за несколько лет до этого.

В WD прокомментировали, что по крайней мере в некоторых случаях хакеры использовали для атаки на My Book Live уязвимость CVE-2018-18472, а уже после этого эксплуатировали вторую уязвимость, которая позволяет сбросить настройки до заводских.
...

PPS
Ещё одна 0-Day-уязвимость угрожает многим пользователям Western Digital
...
Western Digital проигнорировала вопросы о том, были ли решены в OS 3 проблемы, обнаруженные Домански и Рибейро. В заявлении, опубликованном на сайте компании 12 марта 2021 года, говорится, что компания больше не будет разрабатывать обновления безопасности для прошивки MyCloud OS 3.

«Мы крайне рекомендуем перейти на прошивку My Cloud OS5», — написано в заявлении. «Если ваше устройство невозможно обновить до My Cloud OS 5, то мы рекомендуем совершить апгрейд на другой продукт My Cloud с поддержкой My Cloud OS 5. Дополнительная информация представлена здесь». Список устройств MyCloud, способных поддерживать OS 5, находится здесь.

Но по информации Домански, OS 5 является полностью переписанной операционной системой Western Digital, из-за чего в ней отсутствует часть наиболее популярных особенностей и функций OS3.

«Они сломали большую часть функциональности, поэтому некоторые пользователи могут и не решиться мигрировать на OS 5».
...
Вот всё-таки короткие сроки поддержки - меньше 10 лет - для NAS имхо отвратительны. По идее, поддержка вообще должна быть более-менее пожизненной...

#хабр #реал #3dnews
26 июня 2021
3 комментариев из 6
C17H19NO3
достал. весь тред сверху вниз, внимательно:
https://www.opennet.ru/openforum/vsluhforumID3/124625.html#11
ivan_erohin

Опциональный удалённый доступ к локальной железке через сервис /= облако.
Немножко апдейта.
ПОИСК
ФАНФИКОВ













Закрыть
Закрыть
Закрыть