一覺醒來家中2T硬碟資料被刪光，My Book Live被駭事件背後可能是兩名駭客在互搞

一覺醒來，幾T的硬碟資料化為烏有。就算不是暗無天日，至少也是慘絕人寰了。上個月24日，WD硬碟的My Book Live使用者大概就是這樣的心情。

事件在經過調查後，發現有駭客利用安全漏洞入侵了裝置，才導致硬碟被格式化。而安全技術人員深入追查後，居然還發現可能有兩名駭客在比賽入侵！

一覺醒來……我資料呢？

WD（Western Digital），全球知名硬碟廠商。從機械硬碟起家，之後把產品線擴展到了行動硬碟、固態硬碟、NAS硬碟等多個領域。

而My Book Live就是NAS硬碟中的一員。它容量夠大，還能遠端管理硬碟中的資料，建立屬於使用者自己的個人雲。但對於My Book Live使用者來說，上週四絕對是一個噩夢。

因為他們一覺醒來：咦，我硬碟資料怎麼沒了？！

不僅硬碟慘遭格式化，在網頁登錄管理控制端時還會聲明登錄密碼無效。

WD官方很快做出回應：

由於My Book Live使用時是透過一根已太網線連接到本地網路的，因此這份聲明可以簡單概括為：

入侵事件我們正在查，大家先拔網線！

當然，官方也確定了這一事實：是駭客入侵導致了部分My Book Live裝置被恢復出廠設置，資料也被全部抹除。

兩個漏洞，兩名駭客

能被駭客入侵，那肯定就是存在安全漏洞了。

WD技術人員在發布的公告中指出，入侵者利用的是CVE-2018-18472這一命令注入弱點。

利用這一漏洞，可以在沒有使用者互動的前提下獲得root遠端命令執行的權限。

換句話說，只要知道硬碟的IP地址，就可以對其進行任意操作，連登入密碼也不需要破解。

但問題是，這一漏洞在2018年就已經由安全技術人員發現並公開了，只是官方一直沒有採取相應措施。

WD對此的解釋是：

CVE-2018-18472這份漏洞報告影響的是2010年至2012年間銷售的My Book Live裝置。這些產品從2014 年開始就已不再銷售，也不再被我們的軟體支援生命週期所覆蓋。

就像是對官方的回應，5天之後，技術人員從這次被駭的兩台裝置中再次發現了第二個漏洞！

▲ 從這兩台裝置中提取的日誌文件

這個新漏洞存在於一個包含了執行重置的PHP腳本的文件中，這一腳本允許使用者恢復所有的預設配置，並移除存儲在裝置上的所有資料。

但現在，用於保護這一重置命令的程式碼被註釋掉了：

function post($urlPath, $queryParams = null, $ouputFormat = 'xml') {
    // if(!authenticateAsOwner($queryParams))
    // {
    //      header("HTTP/1.0 401 Unauthorized");
    //      return;
    // }

技術人員在分析上述兩份日誌文件之後，認為這兩台裝置受到了利用未授權重置這一新漏洞的攻擊。

這就出現了一個令安全人員困擾的問題：

明明已經透過「命令注入弱點」獲得root權限了，為什麼還要再使用「未授權重置漏洞」進行抹除和重置呢？

再返回看看第一個漏洞，它在入侵裝置時增加了這幾行程式碼：

function put($urlPath, $queryParams=null, $ouputFormat='xml'){

    parse_str(file_get_contents("php://input"), $changes);

    $langConfigObj = new LanguageConfiguration();
    if(!isset($changes["submit"]) || sha1($changes["submit"]) != "56f650e16801d38f47bb0eeac39e21a8142d7da1")
    {
    die();
    }

這樣修改後，只要沒有與某一特定的加密SHA1雜湊值相對應的密碼，任何人都不能利用這一漏洞。

而在其他被駭的裝置中，被入侵修改的檔案則使用了對應其他雜湊值的不同密碼。

因此，安全公司Censys的首席技術長Derek Abdin提出了一個假設：

在駭客A透過命令注入弱點讓裝置感染惡意軟體，形成了一種「殭屍網路」後，第二位駭客B又利用未授權重置這一新漏洞，進行了大規模的重置和資料刪除。

駭客B明顯是一位競爭者，他試圖控制、或是破壞駭客A的殭屍網路。

這次入侵可能是兩名駭客在相互競爭！