상세 컨텐츠

본문 제목

전 세계의 WD My Book NAS 기기, 원격으로 데이터 삭제돼

국내외 보안동향

by 알약4 2021. 6. 28. 09:00

본문

 

 

WD My Book NAS devices are being remotely wiped clean worldwide

 

전 세계의 Western Digital My Book Live NAS 사용자 다수가 기기가 공장 초기화되고 파일이 삭제된 것을 발견했습니다.

 

WD My Book은 책상에 세워둘 수 있는 작은 책 모양의 네트워크 연결 저장장치(NAS)입니다. WD My Book Live 앱은 사용자가 원격으로 파일에 접근하고 기기를 관리할 수 있도록 합니다. NAS가 방화벽이나 라우터 뒤에 위치해 있을 경우에도 접근이 가능합니다.

 

며칠 전, 전 세계의 WD My Book LiveWD My Book Live DUO 사용자들의 모든 파일이 갑자기 삭제되고 브라우저와 앱을 통해 기기에 더 이상 로그인 할 수 없는 상태가 되었습니다.

 

웹 대시보드를 통해 로그인을 시도할 경우 기기는 잘못된 비밀번호라는 메시지를 표시했습니다.

 

WD My Book 사용자는 Western Digital 커뮤니티 포럼에 아래와 같이 밝혔습니다.

 

“홈 LAN에 WD My Book을 연결시킨 상태로 몇 년 간 잘 사용했습니다. 하지만 오늘 갑자기 저장된 모든 데이터가 삭제되었으며, 디렉토리는 있으나 빈 상태였습니다. 이전에는 2TB의 용량이 거의 꽉 찬 상태였지만, 지금은 전체 용량을 사용할 수 있다고 표시됩니다. 더욱 이상한 점은 진단을 위해 제어 UI에 로그인할 때, "소유자 암호”를 입력할 수 있는 필드가 있는 아래 랜딩 페이지에만 접근이 가능하다는 것이었습니다. 기본 비밀번호인 “admin”를 포함하여 이것 저것 시도해 보았지만 동작하지 않았습니다.”

 

 

<이미지 출처 : https://community.wd.com/t/help-all-data-in-mybook-live-gone-and-owner-password-unknown/268111>

<더 이상 동작하지 않는 My Book Live의 비밀번호>

 

 

My Book Live 기기, 공장 초기화 명령 실행해

 

더 많은 사용자들이 동일한 문제를 겪고 있는 것을 확인한 후, 사용자들은 MyBook 로그를 확인 결과 623일 오후 3시경 공장 초기화를 실행하는 원격 명령을 받은 것을 발견했습니다. 

 

Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:

Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot

Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start

Jun 23 16:02:29 My BookLive _: pkg: wd-nas

Jun 23 16:02:30 My BookLive _: pkg: networking-general

Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav

Jun 23 16:02:31 My BookLive _: pkg: date-time

Jun 23 16:02:31 My BookLive _: pkg: alerts

Jun 23 16:02:31 My BookLive logger: hostname=My BookLive

Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api

 

인터넷에 연결되고 QLocker 랜섬웨어 등 공격에 노출되고 있는 QNAP 기기와는 달리, Western Digital My Book 기기는 방화벽 뒤에 위치하며 My Book Live 클라우드 서버를 통해 통신하며 원격 접속을 제공합니다.

 

일부 사용자는 Western Digital의 서버가 해킹을 당해 공격자가 서비스에 연결된 모든 기기에 원격으로 공장 초기화 명령을 내릴 수 있었던 것으로 추측했습니다.

 

해당 공격을 받은 사용자 중 일부는 PhotoRec 파일 복구 툴을 사용하여 일부 파일을 성공적으로 복구할 수 있었다고 밝혔지만 많은 사용자들이 복구에 실패했습니다. 

 

Western Digital은 현재 WD My Book Live NAS 기기를 사용 중일 경우 이를 인터넷과 분리할 것을 강력히 권고했습니다.

 

패치되지 않은 취약점을 악용한 공격으로 추정

 

Western Digital은 공격자들이 인터넷에 직접 연결된 My Book Live My Book Live Duo 기기에 존재하는 원격 코드 실행 취약점을 악용한 것으로 결론지었습니다.

 

“공격 및 액세스 메커니즘을 확인하기 위해 고객의 로그를 분석하고 있습니다. 그 결과, 공격자가 여러 국가의 다양한 IP 주소를 통해 취약한 My Book Live 기기에 직접 연결했음을 확인했습니다. 이는 직접 연결 또는 UPnP를 통해 수동/자동으로 활성화된 포트 포워딩을 통해 인터넷으로 직접적으로 접근했음을 나타냅니다. 또한 로그 파일을 확인 결과, 공격자가 My Book Live와 Live Duo에서 사용되는 PowerPC 아키텍처용으로 컴파일된 Linux ELF 바이너리인 “.nttpd,1-ppc-be-t1-z”라는 파일과 함께 트로이목마를 설치했음을 알 수 있었습니다.”

“조사 결과 Western Digital 클라우드 서비스, 펌웨어 업데이트 서버, 고객 크리덴셜이 해킹되었다는 증거는 찾을 수 없었습니다. My Book Live 기기가 포트 포워딩을 통해 인터넷에 직접 노출될 수 있기 때문에, 공격자는 포트 검색을 통해 취약한 기기를 발견할 수 있습니다.”

 

WD My Book Live 기기의 마지막 펌웨어 업데이트는 2015년이었습니다.

 

이후 원격 코드 실행 취약점인 CVE-2018-18472이 공개 PoC 익스플로잇과 함께 공개되었습니다.

 

공격자는 인터넷에서 취약한 기기를 대량으로 스캔하고, 이 취약점을 통해 공장 초기화 명령을 실행한 것으로 추정됩니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/wd-my-book-nas-devices-are-being-remotely-wiped-clean-worldwide/

https://community.wd.com/t/help-all-data-in-mybook-live-gone-and-owner-password-unknown/268111

관련글 더보기

댓글 영역