Неизвестные взламывают и сбрасывают WD My Book Live с полной потерей данных

После инцидента владельцы сетевых хранилищ не могут зайти на устройство через браузер или приложение WD My Book Live, так как их старые пароли не принимаются. Штатный пароль по умолчанию также не принимается.

24 июня 2021 года пользователи сетевых систем хранения данных WD My Book Live стали массово жаловаться на то, что неизвестные злоумышленники каким-то образом взламывают их учетные записи в штатном приложении WD My Book Live и удаленно сбрасывают устройства к заводским настройкам с полной потерей данных. Обратно вернуть данные не представляется возможным, даже после обращения с проблемой в сервисный центр.

WD просит всех пользователей My Book Live и My Book Live Duo срочно отключить сетевые хранилища от внешней сети.

Оказалось, что многие WD My Book Live 23 июня 2021 года получили внешнюю команду на сброс своих настроек до заводских с полной потерей данных, а остальные устройства, по мере доступности, продолжают ее получать.

Данные из файла user.log, обнаруженные пользователем на своем диске после инцидента:
Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 My BookLive _: pkg: wd-nas
Jun 23 16:02:30 My BookLive _: pkg: networking-general
Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 My BookLive _: pkg: date-time
Jun 23 16:02:31 My BookLive _: pkg: alerts
Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api

Удаленный доступ к данным системам хранения напрямую невозможен, только через облачные серверы системы WD My Book Live. Пользователи предположили, что каким-то образов была скомпрометирована облачная система WD, отвечающая за диагностику и доступ к открытым и зарегистрированным в ней устройствам WD My Book Live.

Специалисты компании WD пояснили изданию Bleeping Computer, что в курсе проблемы и начали проводить собственное расследование инцидента. Они заявили, что атака на устройства пользователей была не через взлом серверов WD My Book Live, а из-за компрометации учетных данных самих пользователей.

Заявление производителя NAS: «Western Digital определила, что некоторые устройства My Book Live были скомпрометированы неизвестным вредоносным программным обеспечением. В некоторых случаях эта компрометация приводила к сбросу настроек до заводских, который, по всей видимости, стирает все данные на устройстве. Устройство My Book Live получило последнее обновление прошивки в 2015 году. Мы понимаем, что данные наших клиентов очень важны. В настоящее время мы рекомендуем вам отключить My Book Live от Интернета, чтобы защитить свои данные на устройстве".

WD не пояснила, как именно и какое именно количество аккаунтов пользователей было взломано примерно в одно и то же время.

Пострадавший от проблемы пользователь на Хабре предполагает, что это вина WD, которая продолжает рассылать некорректное обновление на сетевые хранилища пользователей, после установки которого NAS ведут себя по-разному — «у кого-то остается интерфейс и исчезают данные, у кого-то полное окирпичивание, кто-то может зайти по SSH, кто-то нет».