imageПосле инцидента владельцы сетевых хранилищ не могли зайти на устройство через браузер или приложение WD My Book Live, так как их старые пароли не принимаются. Штатный пароль по умолчанию также не принимался, помогал только сброс вручную, все данные на устройстве были потеряны.

30 июня 2021 года WD признала, что в удалении данных с хранилищ WD My Book Live и Live Duo виновата обнаруженная недавно злоумышленниками уязвимость нулевого дня CVE-2021-35941 в текущей прошивке устройств, снятых с поддержки в 2015 году, а не критическая уязвимость CVE-2018-18472, которую с 2018 года производитель WD так и не пропатчил на пострадавших хранилищах, хотя вместе к ней был даже выпущен публичный экспериментальный эксплойт.

Специалисты ИБ-компании Censys обнаружили, что последняя прошивка WD My Book Live и Live Duo, выпущенная в 2015 году, содержала уязвимость нулевого дня, которая позволяла удаленно подключится в хранилищу любому пользователю без аутентификации и выполнить сброс устройства к заводским настройкам, а также стереть все данные на нем в ходе этого процесса. Вдобавок эта уязвимость могла использоваться хакерами для запуска произвольных команд на устройствах с привилегиями root.


Фактически это ошибка разработчиков WD. Они некорректно закомментировали в скрипте system_factory_restore часть проверок с процедурами аутентификации.

В настоящее время более 36 тыс. устройств WD My Book Live и Live Duo по всему миру остаются открытыми в сети и могут быть атакованы злоумышленниками или уже прошли этап заражения зловредным ПО. В ходе атаки на сетевые хранилища пользователей хакеры устанавливают троян «.nttpd, 1-ppc-be-t1-z» — это двоичный файл ELF Linux, скомпилированный для архитектуры PowerPC, которая используется в My Book Live и Live Duo. Образец этого трояна сейчас исследуется антивирусными сервисами.

В своей публикации компания WD рассказала, что проблема с прошивкой полностью ее вина, компания предоставит уже в июле, по возможности, всем пострадавшим пользователям доступ к инструментам по восстановлению данных, если этот процесс на их устройствах еще можно выполнить. Также WD предложит пострадавшим пользователям большую скидку на покупку нового устройства WD серии My Cloud.

24 июня 2021 года пользователи сетевых систем хранения данных WD My Book Live стали массово жаловаться на то, что неизвестные злоумышленники каким-то образом взламывают их учетные записи в штатном приложении WD My Book Live и удаленно сбрасывают устройства к заводским настройкам с полной потерей данных. WD попросила всех пользователей My Book Live и My Book Live Duo срочно отключить незатронутые атакой сетевые хранилища от внешней сети.

25 июня 2021 года WD заявила, что инцидент с удаленным стиранием данных My Book Live и My Book Live Duo — это хакерская атака на пользователей.