一覺醒來2T硬碟資料化為烏有 背後或是兩名駭客在互掐

一覺醒來，幾個T的硬碟資料化為烏有。

不說暗無天日吧，也至少是慘絕人寰了。

毫不誇張的說，上週四的6月24日，西部資料硬碟的My Book Live使用者就是這樣的心情。

調查後一看，果然是有駭客利用安全漏洞入侵了裝置，才導致硬碟被格式化。

而安全技術人員深入追查後，居然還發現可能有兩名駭客在互掐式入侵！

一覺醒來……誒我資料呢？

西部資料*（Western Digital）*，全球知名硬碟廠商。

機械硬碟起家，一頓操作之後把產品線擴充套件到了行動硬碟、固態硬碟、NAS硬碟等多個領域。

而My Book Live就是NAS硬碟中的一員。它容量夠大，還能遠端管理硬碟中的資料，建立屬於使用者自己的個人雲。

但對於My Book Live使用者來說，上週四絕對是一個噩夢。

因為他們一覺醒來一臉懵逼：誒我硬碟資料怎麼沒了？！

不僅硬碟慘遭格式化，在網頁登入管理控制端時還會宣告登入密碼無效。

西部資料官方很快做出迴應：

由於My Book Live使用時是通過一根乙太網線連線到本地網路的，因此這份宣告可以簡單概括為：入侵事件我們正在查，大家先拔網線！

當然，官方也確定了這一事實：是駭客入侵導致了部分My Book Live裝置被恢復出廠設定，資料也被全部擦除。

兩個漏洞，兩名駭客

能被駭客入侵，那肯定就是存在安全漏洞了。

西數技術人員在釋出的公告中指出，入侵者利用的是CVE-2018-18472這一命令注入漏洞。

利用這一漏洞，可以在沒有使用者互動的前提下獲得root遠端命令執行的許可權。

換句話說，只要知道硬碟的IP地址，就可以對其進行任意操作，連登陸密碼也不需要破解。

但問題是，這一漏洞在2018年就已經由安全技術人員發現並公開了，只是官方一直沒有采取相應措施。

西部資料對此的解釋是：

CVE-2018-18472這份漏洞報告影響的是2010年至2012年間銷售的My Book Live裝置。這些產品從 2014 年開始就已不再銷售，也不再被我們的軟體支援生命週期所覆蓋。

就像是對官方的迴應，5天之後，技術人員從這次被黑的兩臺裝置中再次發現了第二個漏洞！

△從這兩臺裝置中提取的紀錄檔檔案

這個新漏洞存在於一個包含了執行重置的PHP指令碼的檔案中，這一指令碼允許使用者恢復所有的預設設定，並擦除儲存在裝置上的所有資料。

但現在，用於保護這一重置命令的程式碼被註釋掉了：

技術人員在分析上述兩份紀錄檔檔案之後，認為這兩臺裝置受到了利用未授權重置這一新漏洞的攻擊。

這就出現了一個很令安全人員困擾的問題：

明明已經通過「命令注入漏洞」獲得root許可權了，為什麼還要再使用「未授權重置漏洞」進行擦除和重置呢？

再返回看看第一個漏洞，它在入侵裝置時增加了這幾行程式碼：

這樣修改後，只要沒有與某一特定的加密SHA1雜湊值相對應的密碼，任何人都不能利用這一漏洞。

而在其他被黑的裝置中，被入侵修改的檔案則使用了對應其他雜湊值的不同密碼。

因此，安全公司Censys的技術長Derek Abdin提出了一個假設：

在駭客A通過命令注入漏洞讓裝置感染惡意軟體，形成了一種「殭屍網路」後，第二位駭客B又利用未授權重置這一新漏洞，實行了大規模的重置和擦除。

駭客B明顯是一位競爭者，他試圖控制、或是破壞駭客A的殭屍網路。

這次入侵可能是兩名駭客在互掐！

官方：將為受攻擊使用者提供資料恢復服務

不管兩位駭客出於什麼目的在互扯頭花，西數My Book Live使用者已經表示真的遭不住了。

發出第一聲吶喊的使用者的2T資料已經木大了。

而相同遭遇的使用者還有更多：

很多網友也對這西數硬碟的不作為感到極其不滿：3年了，一個REC漏洞還是沒修好。這意味著你硬碟上所有的資料都有可能被洩露給攻擊者。

西部資料官方對此作何迴應呢？

他們在29日表示，將從7月份開始對資料丟失的使用者提供資料恢復服務。

而在做了技術分析之後，西部資料認為“沒有任何證據表明西部資料的雲服務、韌體更新伺服器或客戶憑證被洩露”。

同時也表示：在這次攻擊中被利用的漏洞僅限於My Book Live系列，該系列於2010年推向市場，並在2015年獲得最後的韌體更新。這些漏洞不影響我們目前的My Cloud產品系列。

最後，他們還提到了一項以舊換新計劃，用於支援My Book Live使用者升級到My Cloud裝置。