Ken641228的部落格

而安全技術人員深入追查後，居然還發現可能有兩名黑客在互掐式入侵！

一覺醒來……誒我數據呢？

西部數據*（Western Digital）*，全球知名硬盤廠商。

機械硬盤起傢，一頓操作之後把產品線擴展到瞭移動硬盤、固態硬盤、NAS硬盤等多個領域。

而My Book Live就是NAS硬盤中的一員。它容量夠大，還能遠程管理硬盤中的數據，建立屬於用戶自己的個人雲。

但對於My Book Live用戶來說，上周四絕對是一個噩夢。

因為他們一覺醒來一臉懵逼：誒我硬盤數據怎麼沒瞭？！

不僅硬盤慘遭格式化，在網頁登錄管理控制端時還會聲明登錄密碼無效。

西部數據官方很快做出回應：

由於My Book Live使用時是通過一根以太網線連接到本地網絡的，因此這份聲明可以簡單概括為：入侵事件我們正在查，大傢先拔網線！

當然，官方也確定瞭這一事實：是黑客入侵導致瞭部分My Book Live設備被恢復出廠設置，數據也被全部擦除。

兩個漏洞，兩名黑客

能被黑客入侵，那肯定就是存在安全漏洞瞭。

西數技術人員在發佈的公告中指出，入侵者利用的是CVE-2018-18472這一命令註入漏洞。

利用這一漏洞，可以在沒有用戶交互的前提下獲得root遠程命令執行的權限。

換句話說，隻要知道硬盤的IP地址，就可以對其進行任意操作，連登陸密碼也不需要破解。

但問題是，這一漏洞在2018年就已經由安全技術人員發現並公開瞭，隻是官方一直沒有采取相應措施。

西部數據對此的解釋是：

CVE-2018-18472這份漏洞報告影響的是2010年至2012年間銷售的My Book Live設備。這些產品從 2014 年開始就已不再銷售，也不再被我們的軟件支持生命周期所覆蓋。

就像是對官方的回應，5天之後，技術人員從這次被黑的兩臺設備中再次發現瞭第二個漏洞！

△從這兩臺設備中提取的日志文件

這個新漏洞存在於一個包含瞭執行重置的PHP腳本的文件中，這一腳本允許用戶恢復所有的默認配置，並擦除存儲在設備上的所有數據。

但現在，用於保護這一重置命令的代碼被註釋掉瞭：

技術人員在分析上述兩份日志文件之後，認為這兩臺設備受到瞭利用未授權重置這一新漏洞的攻擊。

這就出現瞭一個很令安全人員困擾的問題：

明明已經通過「命令註入漏洞」獲得root權限瞭，為什麼還要再使用「未授權重置漏洞」進行擦除和重置呢？

再返回看看第一個漏洞，它在入侵設備時增加瞭這幾行代碼：

這樣修改後，隻要沒有與某一特定的加密SHA1哈希值相對應的密碼，任何人都不能利用這一漏洞。

而在其他被黑的設備中，被入侵修改的文件則使用瞭對應其他哈希值的不同密碼。

因此，安全公司Censys的首席技術官Derek Abdin提出瞭一個假設：

在黑客A通過命令註入漏洞讓設備感染惡意軟件，形成瞭一種「僵屍網絡」後，第二位黑客B又利用未授權重置這一新漏洞，實行瞭大規模的重置和擦除。

黑客B明顯是一位競爭者，他試圖控制、或是破壞黑客A的僵屍網絡。

這次入侵可能是兩名黑客在互掐！

官方：將為受攻擊用戶提供數據恢復服務

不管兩位黑客出於什麼目的在互扯頭花，西數My Book Live用戶已經表示真的遭不住瞭。

發出第一聲吶喊的用戶的2T數據已經木大瞭。

而相同遭遇的用戶還有更多：

很多網友也對這西數硬盤的不作為感到極其不滿：3年瞭，一個REC漏洞還是沒修好。這意味著你硬盤上所有的數據都有可能被泄露給攻擊者。

西部數據官方對此作何回應呢？

他們在29日表示，將從7月份開始對數據丟失的用戶提供數據恢復服務。

而在做瞭技術分析之後，西部數據認為“沒有任何證據表明西部數據的雲服務、固件更新服務器或客戶憑證被泄露”。

同時也表示：在這次攻擊中被利用的漏洞僅限於My Book Live系列，該系列於2010年推向市場，並在2015年獲得最後的固件更新。這些漏洞不影響我們目前的My Cloud產品系列。

最後，他們還提到瞭一項以舊換新計劃，用於支持My Book Live用戶升級到My Cloud設備。