西数：黑客利用远程漏洞抹除My Book用户数据 正研究潜在恢复方案

在遭到一系列远程攻击之后，西部数据（WD）敦促 My Book 用户立即断开互联网连接。在官方公告中，WD 表示 My Book Live 和 My Book Live Duo 网络附加存储（NAS）设备可能通过出厂重置被远程擦除，使用户面临失去所有存储数据的风险。

在公告中写道：“西部数据已经确定，一些 My Book Live 和 My Book Live Duo 设备正受到一个远程命令执行漏洞的影响。在某些情况下，攻击者已经触发了出厂重置，似乎是要删除设备上的所有数据”。被利用的漏洞目前编号为 CVE-2018-18472，这是一个根远程命令执行（RCE）漏洞，在 CVSS 严重性评级为 9.8。

攻击者能够以 root 身份进行远程操作，他们可以触发重置并擦除这些便携式存储设备上的所有内容，这些设备在 2010 年首次亮相，在 2015 年获得了最后的固件更新。当产品进入报废期时，它们通常无权获得新的安全更新。

正如Bleeping Computer首次报道的那样，论坛用户于6月24日开始通过WD论坛和Reddit查询他们的数据突然丢失的情况。一位论坛用户认为，由于他们的信息被删除，自己 "完全完蛋了"。

另一位用户评论道：“我愿意拿出我的毕生积蓄来获取我的博士论文数据、我孩子和死去的亲戚的新生照片、我写的但从未发表的旅行博客以及我过去7个月的所有合同工作。我甚至不敢想这对我的职业生涯会有什么影响，因为我失去了所有的项目数据和文件...”。

在撰写本文时，论坛用户正在交易潜在的恢复方法和想法，并有不同程度的成功。西部数据说：“我们正在审查我们从受影响的客户那里收到的日志文件，以进一步确定攻击和访问机制的特征”。

到目前为止，这些日志文件显示，My Book Live设备是通过直接在线连接或端口转发在全球范围内被攻击的。WizCase之前已经公布了该漏洞的概念验证（PoC）代码。在某些情况下，攻击者还安装了一个木马程序，其样本已被上传到VirusTotal。

My Book Live设备被认为是参与这次广泛攻击的唯一产品。西部数据的云服务、固件更新系统和客户信息被认为没有被泄露。西部数据正在敦促客户尽快将他们的设备从互联网上撤出。

西部数据说："我们知道我们客户的数据非常重要。"我们还不明白为什么攻击者触发了出厂重置；但是，我们已经获得了一个受影响设备的样本，正在进一步调查"。该公司还在调查受影响客户的潜在恢复方案。