En estas últimas 24-48 horas, los propietarios del NAS My Book de la firma Western Digital han visto cómo sus archivos desaparecían tras un formateo del disco con origen remoto.
El NAS WD My Book es un dispositivo de almacenamiento de datos conectado a la red, que ofrece a sus usuarios la capacidad de subir y descargar archivos del NAS a otros dispositivos a través de internet, como si fuera un Google Drive o OneDrive privado.
Esta mañana, aquellos poseedores de este NAS, se han encontrado que todos los archivos que tenían almacenados allí se han esfumado, y además han perdido la capacidad de acceder al sistema/app de gestión del NAS, obteniendo cómo respuesta un mensaje indicando que la contraseña de acceso no es válida.
«Tengo un NAS WD My Book conectado a la red local de mi casa y ha funcionado bien durante años. Ahora acabo de descubrir que de alguna manera todos los datos se han ido, mientras que los directorios parecen estar allí pero vacíos. Anteriormente, el volumen (disco) de 2 Terabytes estaba casi lleno, pero ahora está completamente vacío.»
Reporte en los foros de la comunidad de Western Digital.
Durante la mañana, otros usuarios se han pronunciado con el mismo problema en sus NAS WD My Book, confirmando así que no se trataba de un fallo aislado. Algunos usuarios han podido acceder a los registros del dispositivo, en los que se puede observar que a las 3PM (hora norte americana) del día anterior el dispositivo recibió un comando remoto que formateo por completo el disco:
Jun 23 15:14:05 My BookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 My BookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 My BookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 My BookLive _: pkg: wd-nas
Jun 23 16:02:30 My BookLive _: pkg: networking-general
Jun 23 16:02:30 My BookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 My BookLive _: pkg: date-time
Jun 23 16:02:31 My BookLive _: pkg: alerts
Jun 23 16:02:31 My BookLive logger: hostname=My BookLive
Jun 23 16:02:32 My BookLive _: pkg: admin-rest-api
A diferencia de los dispositivos QNAP, el NAS My Book de WD está conectado a internet a través del propio Firewall del router y se comunica a través de los servidores en la nube propiedad de WD.
Por el momento no se sabe nada concreto acerca de lo sucedido. Algunos han especulado que podría tratarse de un hackeo a WD, aunque no se le da mucho sentido, ya que no se ha descargado (robado) información de los dispositivos, únicamente se ha eliminado todo el contenido.
Algunos usuarios han reportado que han sido capaces de recuperar la información borrada del disco con el software PhotoREC.
Desde Western Digital han publicado un comunicado en el que aconsejan a todos los propietarios de un NAS WD My Book que lo desconecten de la red lo más rápido posible:
«Western Digital ha determinado que algunos dispositivos My Book Live están siendo comprometidos por software malintencionado. En algunos casos, este compromiso ha llevado a un restablecimiento de fábrica que parece borrar todos los datos del dispositivo. El dispositivo My Book Live recibió su última actualización de firmware en 2015. Entendemos que los datos de nuestros clientes son muy importantes. En este momento, le recomendamos que desconecte My Book Live de Internet para proteger sus datos en el dispositivo. Estamos investigando activamente y proporcionaremos actualizaciones a este hilo cuando estén disponibles «.
Western Digital
Por lo que podemos entender, «alguien» ha descubierto y se ha aprovechado de un fallo en alguna parte del firmware del dispositivo, que de alguna manera le ha permitido enviar comandos a todos los My Book conectados a la red.
Por el momento se desconoce también el alcance del ataque.
vía: bleepingcomputer