一覺醒來2T硬盤數據化為烏有背後或是兩撥黑客在競爭式入侵
一覺醒來,幾個T的硬盤數據化為烏有。不說暗無天日吧,也至少是慘絕人寰了。毫不誇張的說,上週四的6月24日,西部數據硬盤的My Book Live用戶就是這樣的心情。調查後一看,果然是有黑客利用安全漏洞入侵了設備,才導致硬盤被格式化。
而安全技術人員深入追查後,居然還發現可能有兩名黑客在互掐式入侵!
一覺醒來……誒我數據呢?
西部數據*(Western Digital)*,全球知名硬盤廠商。
機械硬盤起家,一頓操作之後把產品線擴展到了移動硬盤、固態硬盤、NAS硬盤等多個領域。
而My Book Live就是NAS硬盤中的一員。它容量夠大,還能遠程管理硬盤中的數據,建立屬於用戶自己的個人云。
但對於My Book Live用戶來說,上週四絕對是一個噩夢。
因為他們一覺醒來一臉懵逼:誒我硬盤數據怎麼沒了?!
不僅硬盤慘遭格式化,在網頁登錄管理控制端時還會聲明登錄密碼無效。
西部數據官方很快做出回應:
由於My Book Live使用時是通過一根以太網線連接到本地網絡的,因此這份聲明可以簡單概括為:入侵事件我們正在查,大家先拔網線!
當然,官方也確定了這一事實:是黑客入侵導致了部分My Book Live設備被恢復出廠設置,數據也被全部擦除。
兩個漏洞,兩名黑客
能被黑客入侵,那肯定就是存在安全漏洞了。
西數技術人員在發布的公告中指出,入侵者利用的是CVE-2018-18472這一命令注入漏洞。
利用這一漏洞,可以在沒有用戶交互的前提下獲得root遠程命令執行的權限。
換句話說,只要知道硬盤的IP地址,就可以對其進行任意操作,連登陸密碼也不需要破解。
但問題是,這一漏洞在2018年就已經由安全技術人員發現並公開了,只是官方一直沒有採取相應措施。
西部數據對此的解釋是:
CVE-2018-18472這份漏洞報告影響的是2010年至2012年間銷售的My Book Live設備。這些產品從2014 年開始就已不再銷售,也不再被我們的軟件支持生命週期所覆蓋。
就像是對官方的回應,5天之後,技術人員從這次被黑的兩台設備中再次發現了第二個漏洞!
△從這兩台設備中提取的日誌文件
這個新漏洞存在於一個包含了執行重置的PHP腳本的文件中,這一腳本允許用戶恢復所有的默認配置,並擦除存儲在設備上的所有數據。
但現在,用於保護這一重置命令的代碼被註釋掉了:
技術人員在分析上述兩份日誌文件之後,認為這兩台設備受到了利用未授權重置這一新漏洞的攻擊。
這就出現了一個很令安全人員困擾的問題:
明明已經通過「命令注入漏洞」獲得root權限了,為什麼還要再使用「未授權重置漏洞」進行擦除和重置呢?
再返回看看第一個漏洞,它在入侵設備時增加了這幾行代碼:
這樣修改後,只要沒有與某一特定的加密SHA1哈希值相對應的密碼,任何人都不能利用這一漏洞。
而在其他被黑的設備中,被入侵修改的文件則使用了對應其他哈希值的不同密碼。
因此,安全公司Censys的首席技術官Derek Abdin提出了一個假設:
在黑客A通過命令注入漏洞讓設備感染惡意軟件,形成了一種「殭屍網絡」後,第二位黑客B又利用未授權重置這一新漏洞,實行了大規模的重置和擦除。
黑客B明顯是一位競爭者,他試圖控制、或是破壞黑客A的殭屍網絡。
這次入侵可能是兩名黑客在互掐!
官方:將為受攻擊用戶提供數據恢復服務
不管兩位黑客出於什麼目的在互扯頭花,西數My Book Live用戶已經表示真的遭不住了。
發出第一聲吶喊的用戶的2T數據已經木大了。
而相同遭遇的用戶還有更多:
很多網友也對這西數硬盤的不作為感到極其不滿:3年了,一個REC漏洞還是沒修好。這意味著你硬盤上所有的數據都有可能被洩露給攻擊者。
西部數據官方對此作何回應呢?
他們在29日表示,將從7月份開始對數據丟失的用戶提供數據恢復服務。
而在做了技術分析之後,西部數據認為“沒有任何證據表明西部數據的雲服務、固件更新服務器或客戶憑證被洩露”。
同時也表示:在這次攻擊中被利用的漏洞僅限於My Book Live系列,該系列於2010年推向市場,並在2015年獲得最後的固件更新。這些漏洞不影響我們目前的My Cloud產品系列。
最後,他們還提到了一項以舊換新計劃,用於支持My Book Live用戶升級到My Cloud設備。