一覺醒來,幾T的硬碟資料化為烏有。就算不是暗無天日,至少也是慘絕人寰了。上個月24日,WD硬碟的My Book Live使用者大概就是這樣的心情。
事件在經過調查後,發現有駭客利用安全漏洞入侵了裝置,才導致硬碟被格式化。而安全技術人員深入追查後,居然還發現可能有兩名駭客在比賽入侵!
一覺醒來……我資料呢?
WD(Western Digital),全球知名硬碟廠商。從機械硬碟起家,之後把產品線擴展到了行動硬碟、固態硬碟、NAS硬碟等多個領域。
而My Book Live就是NAS硬碟中的一員。它容量夠大,還能遠端管理硬碟中的資料,建立屬於使用者自己的個人雲。但對於My Book Live使用者來說,上週四絕對是一個噩夢。
因為他們一覺醒來:咦,我硬碟資料怎麼沒了?!
不僅硬碟慘遭格式化,在網頁登錄管理控制端時還會聲明登錄密碼無效。
WD官方很快做出回應:
由於My Book Live使用時是透過一根已太網線連接到本地網路的,因此這份聲明可以簡單概括為:
入侵事件我們正在查,大家先拔網線!
當然,官方也確定了這一事實:是駭客入侵導致了部分My Book Live裝置被恢復出廠設置,資料也被全部抹除。
兩個漏洞,兩名駭客
能被駭客入侵,那肯定就是存在安全漏洞了。
WD技術人員在發布的公告中指出,入侵者利用的是CVE-2018-18472這一命令注入弱點。
利用這一漏洞,可以在沒有使用者互動的前提下獲得root遠端命令執行的權限。
換句話說,只要知道硬碟的IP地址,就可以對其進行任意操作,連登入密碼也不需要破解。
但問題是,這一漏洞在2018年就已經由安全技術人員發現並公開了,只是官方一直沒有採取相應措施。
WD對此的解釋是:
CVE-2018-18472這份漏洞報告影響的是2010年至2012年間銷售的My Book Live裝置。這些產品從2014 年開始就已不再銷售,也不再被我們的軟體支援生命週期所覆蓋。
就像是對官方的回應,5天之後,技術人員從這次被駭的兩台裝置中再次發現了第二個漏洞!
這個新漏洞存在於一個包含了執行重置的PHP腳本的文件中,這一腳本允許使用者恢復所有的預設配置,並移除存儲在裝置上的所有資料。
但現在,用於保護這一重置命令的程式碼被註釋掉了:
function post($urlPath, $queryParams = null, $ouputFormat = 'xml') {
// if(!authenticateAsOwner($queryParams))
// {
// header("HTTP/1.0 401 Unauthorized");
// return;
// }
技術人員在分析上述兩份日誌文件之後,認為這兩台裝置受到了利用未授權重置這一新漏洞的攻擊。
這就出現了一個令安全人員困擾的問題:
明明已經透過「命令注入弱點」獲得root權限了,為什麼還要再使用「未授權重置漏洞」進行抹除和重置呢?
再返回看看第一個漏洞,它在入侵裝置時增加了這幾行程式碼:
function put($urlPath, $queryParams=null, $ouputFormat='xml'){
parse_str(file_get_contents("php://input"), $changes);
$langConfigObj = new LanguageConfiguration();
if(!isset($changes["submit"]) || sha1($changes["submit"]) != "56f650e16801d38f47bb0eeac39e21a8142d7da1")
{
die();
}
這樣修改後,只要沒有與某一特定的加密SHA1雜湊值相對應的密碼,任何人都不能利用這一漏洞。
而在其他被駭的裝置中,被入侵修改的檔案則使用了對應其他雜湊值的不同密碼。
因此,安全公司Censys的首席技術長Derek Abdin提出了一個假設:
在駭客A透過命令注入弱點讓裝置感染惡意軟體,形成了一種「殭屍網路」後,第二位駭客B又利用未授權重置這一新漏洞,進行了大規模的重置和資料刪除。
駭客B明顯是一位競爭者,他試圖控制、或是破壞駭客A的殭屍網路。
這次入侵可能是兩名駭客在相互競爭!
官方:將為受攻擊使用者提供資料恢復服務
不管兩位駭客出於什麼目的在對幹,WDMy Book Live使用者已經表示真的受不了。
發出第一聲吶喊的使用者的2T資料已經沒了。
而相同遭遇的使用者還有更多:
很多網友也對這WD硬碟的不作為感到極其不滿:
3年了,一個REC漏洞還是沒修好。這意味著你硬碟上所有的資料都有可能被洩露給攻擊者。
WD官方對此作何回應呢?
他們在29日表示,將從7月份開始對資料丟失的使用者提供資料恢復服務。
而在做了技術分析之後,WD認為「沒有任何證據表明WD的雲端服務、韌體更新服務器或客戶憑證被洩露」。
同時也表示:
在這次攻擊中被利用的漏洞僅限於My Book Live系列,該系列於2010年在市場推出,並在2015年最後一次韌體更新。這些漏洞不影響我們目前的My Cloud產品系列。
最後,他們還提到了一項以舊換新計劃,用於支持My Book Live使用者升級到My Cloud裝置。
資料來源:
- https:// arstechnica.com/gadgets /2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/
- https:// arstechnica.com/gadgets /2021/06/mass-data-wipe-in-my-book-devices-prompts-warning-from-western-digital/
- https:// community.wd.com/t/acti on-required-on-my-book-live-and-my-book-live-duo/268147
My Book Live日誌文件: