Tin tức

Các thiết bị NAS WD My Book đang bị xóa sạch từ xa trên toàn thế giới

Các thiết bị NAS WD My Book đang bị xóa sạch từ xa trên toàn thế giới

June 28, 2021

This post is also available in: English (English)

Những người sở hữu ổ NAS Western Digital My Book trên toàn thế giới đã nhận thấy rằng thiết bị của họ đã được khôi phục cài đặt gốc một cách bí ẩn và tất cả các tệp của họ đã bị xóa.

Thiết bị NAS WD My Book là một thiết bị lưu trữ kết nối mạng (a network-attached storage device) trông giống như một cuốn sách nhỏ mà bạn có thể đặt trên bàn làm việc. WD My Book Live cho phép người dùng truy cập vào tệp và quản lý thiết bị của họ từ xa, ngay cả khi NAS có tường lửa hoặc bộ định tuyến.

Thiết bị NAS WD My Book
Thiết bị NAS WD My Book

Mới đây, chủ sở hữu WD My Book trên toàn thế giới bất ngờ phát hiện ra rằng tất cả các tệp của họ đã bị xóa một cách bí ẩn và họ không thể đăng nhập vào thiết bị thông qua trình duyệt hoặc ứng dụng được nữa.

Khi họ cố gắng đăng nhập qua trang web, thiết bị thông báo rằng “Mật khẩu không hợp lệ”.

“Tôi có một WD My Book được kết nối trực tiếp với mạng LAN tại nhà của tôi và hoạt động tốt trong nhiều năm. Tôi mới nhận thấy rằng bằng cách nào đó, tất cả dữ liệu trên đó hôm nay đã biến mất, trong khi các thư mục có vẻ ở đó nhưng trống. Trước đây, ổ NAS của tôi gần đây dữ liệu nhưng giờ nó đã trống rỗng “, một chủ sở hữu WD My Book đã báo cáo trên Diễn đàn Cộng đồng WD.

Những thiết bị xảy ra việc bị xóa dữ liệu này đều bị đặt lại mật khẩu và không thể truy cập lại được theo cách thông thường kể cả khi dùng mật khẩu mặc định.

Thiết bị thiet-bi-nas-wd-my-book-h2
Thiết bị của tôi đã đưa ra lệnh khôi phục cài đặt gốc

Sau khi các chủ sở hữu khác xác nhận rằng thiết bị của họ gặp phải vấn đề tương tự, các chủ sở hữu đã báo cáo rằng nhật ký MyBook cho thấy các thiết bị đã nhận được lệnh từ xa để thực hiện khôi phục cài đặt gốc:

user.log của hệ thống WD có ghi lại như sau:
“I have found this in user.log of this drive today:
Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 My BookLive _: pkg: wd-nas
Jun 23 16:02:30 My BookLive _: pkg: networking-general
Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 My BookLive _: pkg: date-time
Jun 23 16:02:31 My BookLive _: pkg: alerts
Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api
I believe this is the culprit of why this happens…No one was even home to use this drive at this time…”

Không giống như các thiết bị QNAP, thường được kết nối với Internet và bị tấn công bởi các virus mã hóa như Qlocker Ransomware, thiết bị Western Digital My Book được lưu trữ sau tường lửa và giao tiếp thông qua máy chủ đám mây My Book Live để cung cấp khả năng truy cập từ xa.

Một số người dùng đã bày tỏ lo ngại rằng máy chủ của Western Digital đã bị tấn công để cho phép kẻ đe dọa thực hiện lệnh khôi phục cài đặt gốc từ xa cho tất cả các thiết bị được kết nối với dịch vụ.

Nếu một tác nhân đe dọa xóa sạch các thiết bị, thật kỳ lạ là không ai báo cáo ghi chú đòi tiền chuộc hoặc các mối đe dọa khác, có nghĩa là cuộc tấn công chỉ nhằm mục đích phá hoại.

Một số người dùng bị ảnh hưởng bởi cuộc tấn công này đã báo cáo khôi phục thành công một số tệp của họ bằng công cụ khôi phục tệp PhotoRec.

Thật không may, những người dùng khác đã không có được thành công như thế.

Nếu bạn sở hữu thiết bị NAS WD My Book Look, Western Digital khuyên bạn nên ngắt kết nối thiết bị khỏi Internet.

“Tại thời điểm này, chúng tôi khuyên bạn nên ngắt kết nối My Book Live và My Book Live Duo khỏi Internet để bảo vệ dữ liệu của bạn trên thiết bị”, Western Digital cho biết trong một lời khuyên.

Lỗ hổng chưa được vá được cho là đứng sau các cuộc tấn công thiết bị NAS WD My Book

Western Digital nói với BleepingComputer rằng họ đang tích cực điều tra các cuộc tấn công nhưng không tin rằng đó là sự xâm phạm máy chủ của họ.

“Western Digital đã xác định rằng một số thiết bị My Book Live đang bị xâm nhập bởi phần mềm độc hại. Trong một số trường hợp, sự xâm nhập này đã dẫn đến khôi phục cài đặt gốc dường như xóa tất cả dữ liệu trên thiết bị. Thiết bị My Book Live đã nhận được bản cập nhật chương trình cơ sở cuối cùng vào năm 2015. Chúng tôi hiểu rằng dữ liệu của khách hàng rất quan trọng. Tại thời điểm này, chúng tôi khuyên bạn nên ngắt kết nối trực tiếp My Book khỏi internet để bảo vệ dữ liệu của bạn trên thiết bị. Chúng tôi đang tích cực điều tra và chúng tôi sẽ cung cấp thông tin cập nhật cho chuỗi này khi chúng có sẵn. ” – Western Digital

Western Digital nói thêm với BleepingComputer rằng họ tin rằng các thiết bị đã bị xâm nhập bằng cách sử dụng lỗ hổng chưa được vá sau khi chúng được kết nối trực tiếp với Internet.

Các thiết bị WD My Book Live đã nhận được bản cập nhật chương trình cơ sở cuối cùng vào năm 2015.

Kể từ đó, một lỗ hổng thực thi mã từ xa được theo dõi là CVE-2018-18472 đã được tiết lộ cùng với việc khai thác bằng chứng khái niệm công khai.

Người ta tin rằng một kẻ đe dọa đã thực hiện quét Internet hàng loạt để tìm các thiết bị dễ bị tấn công và sử dụng lỗ hổng này để đưa ra lệnh khôi phục cài đặt gốc.

Hiện tại, Trung tâm dịch vụ HTI (Tạ Thanh Data) có thể khôi phục dữ liệu cho các tệp đã bị xóa trong trường hợp như trên. Mọi sự cần hỗ trợ vui lòng liên hệ trực tiếp: 092.8765.688

Bài viết tham khảo: Tìm hiểu về ổ cứng bị bad

Share
Khôi phục dữ liệu: 092 876 5688
Tư vấn sản phẩm: 098 123 0055