После инцидента владельцы сетевых хранилищ не могут зайти на устройство через браузер или приложение WD My Book Live, так как их старые пароли не принимаются. Штатный пароль по умолчанию также не принимается.24 июня 2021 года пользователи сетевых систем хранения данных WD My Book Live стали массово жаловаться на то, что неизвестные злоумышленники каким-то образом взламывают их учетные записи в штатном приложении WD My Book Live и удаленно сбрасывают устройства к заводским настройкам с полной потерей данных. Обратно вернуть данные не представляется возможным, даже после обращения с проблемой в сервисный центр.
WD просит всех пользователей My Book Live и My Book Live Duo срочно отключить сетевые хранилища от внешней сети.
Оказалось, что многие WD My Book Live 23 июня 2021 года получили внешнюю команду на сброс своих настроек до заводских с полной потерей данных, а остальные устройства, по мере доступности, продолжают ее получать.
Данные из файла user.log, обнаруженные пользователем на своем диске после инцидента:
Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 My BookLive _: pkg: wd-nas
Jun 23 16:02:30 My BookLive _: pkg: networking-general
Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 My BookLive _: pkg: date-time
Jun 23 16:02:31 My BookLive _: pkg: alerts
Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api
Удаленный доступ к данным системам хранения напрямую невозможен, только через облачные серверы системы WD My Book Live. Пользователи предположили, что каким-то образов была скомпрометирована облачная система WD, отвечающая за диагностику и доступ к открытым и зарегистрированным в ней устройствам WD My Book Live.
Специалисты компании WD пояснили изданию Bleeping Computer, что в курсе проблемы и начали проводить собственное расследование инцидента. Они заявили, что атака на устройства пользователей была не через взлом серверов WD My Book Live, а из-за компрометации учетных данных самих пользователей.
Заявление производителя NAS: «Western Digital определила, что некоторые устройства My Book Live были скомпрометированы неизвестным вредоносным программным обеспечением. В некоторых случаях эта компрометация приводила к сбросу настроек до заводских, который, по всей видимости, стирает все данные на устройстве. Устройство My Book Live получило последнее обновление прошивки в 2015 году. Мы понимаем, что данные наших клиентов очень важны. В настоящее время мы рекомендуем вам отключить My Book Live от Интернета, чтобы защитить свои данные на устройстве".
WD не пояснила, как именно и какое именно количество аккаунтов пользователей было взломано примерно в одно и то же время.
Пострадавший от проблемы пользователь на Хабре предполагает, что это вина WD, которая продолжает рассылать некорректное обновление на сетевые хранилища пользователей, после установки которого NAS ведут себя по-разному — «у кого-то остается интерфейс и исчезают данные, у кого-то полное окирпичивание, кто-то может зайти по SSH, кто-то нет».
XogN
Использую чистый Debian на своем WD My Book Live уже несколько лет, благо заменить им родную прошивку достаточно простая задача.
isden
А можете рассказать, как накатывали?
У меня есть пара идей, но обе подразумевают всякие интересные развлечения на несколько часов :(
XogN
В моем случае тоже на час примерно. Просто мне это в удовольствие.
Если вкратце:
1) Бекапим:
Скидываем бекапы в надежное место.
2)После:
Инструкция не полная!!! Это примерная последовательность действий!!! Не несу ответственности в случае любых проблем!
Помню что не собирал ядро из исходников, так как зеркала на важные патчи многие давали 404 уже. А с сервера одного из энтузиастов использования Debian на этом устройстве скачал уже собранное и проверенное ядро, которое поддерживает ext4 с размером блока 16384 на PowerPC архитектуре.
Вроде были еще твики в виде установки и настройки утилиты для автоустановки часового пояса и времени при загрузке (в этом устройстве нет батарейки, время при выключении сбивается)
Сама установка производилась наживую, у этой модели идет soft-raid1 видимо для удобства обновления прошивки.
Прошу прощения, точнее информацию не смогу предоставить, за давностью лет уже смутно помню. Чудом нашел свою старую шпаргалку :) Но в инете еще встречаются мануалы.
isden
Ага, спасибо. Что-то подобное с разваливанием рейда и предполагал.
Я еще думал на тему попробовать завернуть новую систему в апдейт-пак и накатить штатными средствами, но тут уже с разбивкой диска особо не поиграть.
XogN
В целом, рекомендую поискать более детальную оригинальную инструкцию. Моя — по сути личная шпаргалка, для себя, на память. Могу что-то упускать.