一覺(jué)醒來(lái)2T硬盤(pán)數(shù)據(jù)化為烏有，背后或是兩名黑客在競(jìng)爭(zhēng)式入侵

博雯 發(fā)自 凹非寺
量子位 報(bào)道 | 公眾號(hào) QbitAI

一覺(jué)醒來(lái)，幾個(gè)T的硬盤(pán)數(shù)據(jù)化為烏有。

不說(shuō)暗無(wú)天日吧，也至少是慘絕人寰了。

毫不夸張地說(shuō)，上周四的6月24日，西部數(shù)據(jù)硬盤(pán)的My Book Live用戶(hù)就是這樣的心情。

調(diào)查后一看，果然是有黑客利用安全漏洞入侵了設(shè)備，才導(dǎo)致硬盤(pán)被格式化。

而安全技術(shù)人員深入追查后，居然還發(fā)現(xiàn)可能有兩名黑客在互掐式入侵！

一覺(jué)醒來(lái)……誒我數(shù)據(jù)呢？

西部數(shù)據(jù)（Western Digital），全球知名硬盤(pán)廠商。

機(jī)械硬盤(pán)起家，一頓操作之后把產(chǎn)品線擴(kuò)展到了移動(dòng)硬盤(pán)、固態(tài)硬盤(pán)、NAS硬盤(pán)等多個(gè)領(lǐng)域。

而My Book Live就是NAS硬盤(pán)中的一員。它容量夠大，還能遠(yuǎn)程管理硬盤(pán)中的數(shù)據(jù)，建立屬于用戶(hù)自己的個(gè)人云。

但對(duì)于My Book Live用戶(hù)來(lái)說(shuō)，上周四絕對(duì)是一個(gè)噩夢(mèng)。

因?yàn)樗麄円挥X(jué)醒來(lái)一臉懵逼：誒我硬盤(pán)數(shù)據(jù)怎么沒(méi)了？！

不僅硬盤(pán)慘遭格式化，在網(wǎng)頁(yè)登錄管理控制端時(shí)還會(huì)聲明登錄密碼無(wú)效。

西部數(shù)據(jù)官方很快做出回應(yīng)：

由于My Book Live使用時(shí)是通過(guò)一根以太網(wǎng)線連接到本地網(wǎng)絡(luò)的，因此這份聲明可以簡(jiǎn)單概括為：

入侵事件我們正在查，大家先拔網(wǎng)線！

當(dāng)然，官方也確定了這一事實(shí)：是黑客入侵導(dǎo)致了部分My Book Live設(shè)備被恢復(fù)出廠設(shè)置，數(shù)據(jù)也被全部擦除。

兩個(gè)漏洞，兩名黑客

能被黑客入侵，那肯定就是存在安全漏洞了。

西數(shù)技術(shù)人員在發(fā)布的公告中指出，入侵者利用的是CVE-2018-18472這一命令注入漏洞。

利用這一漏洞，可以在沒(méi)有用戶(hù)交互的前提下獲得root遠(yuǎn)程命令執(zhí)行的權(quán)限。

換句話說(shuō)，只要知道硬盤(pán)的IP地址，就可以對(duì)其進(jìn)行任意操作，連登陸密碼也不需要破解。

但問(wèn)題是，這一漏洞在2018年就已經(jīng)由安全技術(shù)人員發(fā)現(xiàn)并公開(kāi)了，只是官方一直沒(méi)有采取相應(yīng)措施。

西部數(shù)據(jù)對(duì)此的解釋是：

CVE-2018-18472這份漏洞報(bào)告影響的是2010年至2012年間銷(xiāo)售的My Book Live設(shè)備。這些產(chǎn)品從 2014 年開(kāi)始就已不再銷(xiāo)售，也不再被我們的軟件支持生命周期所覆蓋。

就像是對(duì)官方的回應(yīng)，5天之后，技術(shù)人員從這次被黑的兩臺(tái)設(shè)備中再次發(fā)現(xiàn)了第二個(gè)漏洞！

但現(xiàn)在，用于保護(hù)這一重置命令的代碼被注釋掉了：

function post($urlPath, $queryParams = null, $ouputFormat = 'xml') {
    // if(!authenticateAsOwner($queryParams))
    // {
    //      header("HTTP/1.0 401 Unauthorized");
    //      return;
    // }

技術(shù)人員在分析上述兩份日志文件之后，認(rèn)為這兩臺(tái)設(shè)備受到了利用未授權(quán)重置這一新漏洞的攻擊。

這就出現(xiàn)了一個(gè)很令安全人員困擾的問(wèn)題：

明明已經(jīng)通過(guò)「命令注入漏洞」獲得root權(quán)限了，為什么還要再使用「未授權(quán)重置漏洞」進(jìn)行擦除和重置呢？

再返回看看第一個(gè)漏洞，它在入侵設(shè)備時(shí)增加了這幾行代碼：

function put($urlPath, $queryParams=null, $ouputFormat='xml'){

    parse_str(file_get_contents("php://input"), $changes);

    $langConfigObj = new LanguageConfiguration();
    if(!isset($changes["submit"]) || sha1($changes["submit"]) != "56f650e16801d38f47bb0eeac39e21a8142d7da1")
    {
    die();
    }

這樣修改后，只要沒(méi)有與某一特定的加密SHA1哈希值相對(duì)應(yīng)的密碼，任何人都不能利用這一漏洞。

而在其他被黑的設(shè)備中，被入侵修改的文件則使用了對(duì)應(yīng)其他哈希值的不同密碼。

因此，安全公司Censys的首席技術(shù)官Derek Abdin提出了一個(gè)假設(shè)：

在黑客A通過(guò)命令注入漏洞讓設(shè)備感染惡意軟件，形成了一種「僵尸網(wǎng)絡(luò)」后，第二位黑客B又利用未授權(quán)重置這一新漏洞，實(shí)行了大規(guī)模的重置和擦除。

黑客B明顯是一位競(jìng)爭(zhēng)者，他試圖控制、或是破壞黑客A的僵尸網(wǎng)絡(luò)。

這次入侵可能是兩名黑客在互掐！

官方：將為受攻擊用戶(hù)提供數(shù)據(jù)恢復(fù)服務(wù)

不管兩位黑客出于什么目的在互扯頭花，西數(shù)My Book Live用戶(hù)已經(jīng)表示真的遭不住了。

發(fā)出第一聲吶喊的用戶(hù)的2T數(shù)據(jù)已經(jīng)木大了。

而相同遭遇的用戶(hù)還有更多：

很多網(wǎng)友也對(duì)這西數(shù)硬盤(pán)的不作為感到極其不滿：

3年了，一個(gè)REC漏洞還是沒(méi)修好。這意味著你硬盤(pán)上所有的數(shù)據(jù)都有可能被泄露給攻擊者。

西部數(shù)據(jù)官方對(duì)此作何回應(yīng)呢？

他們?cè)?9日表示，將從7月份開(kāi)始對(duì)數(shù)據(jù)丟失的用戶(hù)提供數(shù)據(jù)恢復(fù)服務(wù)。

而在做了技術(shù)分析之后，西部數(shù)據(jù)認(rèn)為“沒(méi)有任何證據(jù)表明西部數(shù)據(jù)的云服務(wù)、固件更新服務(wù)器或客戶(hù)憑證被泄露”。

同時(shí)也表示：

在這次攻擊中被利用的漏洞僅限于My Book Live系列，該系列于2010年推向市場(chǎng)，并在2015年獲得最后的固件更新。這些漏洞不影響我們目前的My Cloud產(chǎn)品系列。

最后，他們還提到了一項(xiàng)以舊換新計(jì)劃，用于支持My Book Live用戶(hù)升級(jí)到My Cloud設(shè)備。

參考鏈接：
[1]https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/
[2]https://arstechnica.com/gadgets/2021/06/mass-data-wipe-in-my-book-devices-prompts-warning-from-western-digital/
[3]https://community.wd.com/t/action-required-on-my-book-live-and-my-book-live-duo/268147

My Book Live日志文件：
https://github.com/dangoodin/My-Book-Live