大量西数硬盘被格式化,原因或是黑客互相攻击还有新漏洞
机器之心报道
编辑:泽南、陈萍
你的硬盘可能早就被黑客破解用来挖矿了,最近突然的自动格式化,是因为另一波黑客要和他们「抢地盘」。
上周四,大量西部数据 My Book 移动硬盘用户数据被远程清空的事件引发了众人关注。由于西数官方要求用户拔掉网线,事情开始变得有些混乱。
本周,又有安全人员爆出了这些硬盘还存在新的漏洞。
一项调查显示,攻击者对于 My Book Live 存储设备的大规模擦除不仅涉及利用 2018 年的老漏洞,还涉及第二个关键安全漏洞,该漏洞允许黑客在没有密码的情况下远程执行恢复出厂设置。
更值得注意的是,根据漏洞代码的情况来看,西部数据的开发者有意去除了恢复出厂设置时需要验证用户名和密码的步骤。
身份验证检查程序被注释掉
这个未被记录的漏洞位于一个名为 system_factory_restore 的文件中。该文件包含一个可执行重置 PHP 脚本,允许用户恢复所有默认配置和擦除存储在设备上的所有数据。
通常情况下,恢复出厂设置需要用户提供用户密码。这种身份验证确保暴露在互联网上的设备只能由合法所有者重置,而不是由恶意攻击者重置。
但是,如下面的脚本所示,西部数据开发人员创建了 5 行代码来对 reset 命令进行密码保护。由于未知的原因,身份验证检查被取消了,或者用开发人员的话说,它被注释掉了,如每行开头的「//」符所示。 function post($urlPath, $queryParams = null, $ouputFormat = "xml") { // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // }
安全专家兼网络发现平台 Rumble 的首席执行官 HD Moore 认为:「在系统恢复端点中注释掉身份验证的供应商,这种做法不会让事情有利于他们,就好像他们故意启用了旁路。」
「要利用此漏洞,攻击者必须知道触发重置的 XML 请求的格式。这不像使用 GET 请求访问随机 URL 那样容易,但也不是那么难以做到,」Moore 说。
我的数据哪去了?
在发现第二个漏洞的前五天,全世界的人都报告说,他们的 My Book Live 设备遭到破坏,然后恢复出厂设置,所有存储的数据都被清除。My Book Live 是一种书本大小的存储设备,它使用以太网接口连接到家庭和办公室网络,以便连接的计算机可以访问其中的数据。授权用户还可以通过 Internet 访问他们的文件并进行配置更改。西部数据在 2015 年对旧版 My Book Live 停止了技术支持。
西部数据人员在发现大规模擦除数据后发布了一份公告,称这是攻击者利用 CVE-2018-18472 造成的。安全研究人员 Paulos Yibelo 和 Daniel Eshetu 在 2018 年底发现了远程命令执行漏洞。因为它在西部数据停止支持 My Book Live 三年后曝光,就像此前人们所报道的一样,该公司从未去修复它。
在 Arstechnica 和安全公司 Censys 的 CTO Derek Abdine 进行的一项分析发现,上周遭到大规模黑客攻击的设备也受到了利用未授权重置漏洞的攻击。在从两个被攻击的设备提取的日志文件中记录了攻击。
其中一个日志文件发布在西部数据支持的论坛上,它显示有人从 IP 地址为 94.102.49.104 成功恢复一个设备: rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 PARAMETER System_factory_restore POST : erase = none rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 OUTPUT System_factory_restore POST SUCCESS
第二个日志文件从被攻击者入侵的 My Book Live 设备上获取,文件显示另一个 IP 地址为 23.154.177.131,利用了相同的漏洞。如下所示: Jun 16 07:28:41 MyBookLive REST_API[28538]: 23.154.177.131 PARAMETER System_factory_restore POST : erase = format Jun 16 07:28:42 MyBookLive REST_API[28538]: 23.154.177.131 OUTPUT System_factory_restore POST SUCCESS
在将这些发现提交给西部数据后,安全人员收到了以下回复:「我们可以确认,至少在某些情况下,攻击者利用了命令注入漏洞 (CVE-2018-18472),其次是恢复出厂设置漏洞。目前尚不清楚为什么攻击者会利用这两个漏洞。我们将为恢复出厂设置漏洞请求 CVE,并将更新我们的公告以包含此信息。」
漏洞被密码保护了
这一发现提出了一个棘手的问题:如果黑客已经通过利用 CVE-2018-18472 获得了完全的 root 访问权限,那么他们对第二个安全漏洞有什么需要?目前还没有明确的答案,但根据现有的证据,Abdine 提出了一个貌似合理的理论,即一名黑客首先利用 CVE-2018-18472 进行攻击,而另一名竞争对手随后利用了另一个漏洞,试图夺取那些已经受到攻击的设备的控制权。
攻击者利用 CVE-2018-18472 提供的代码执行能力修改了 My Book Live 堆栈中名为 language_configuration.php 的文件,该文件就是漏洞所在位置,根据恢复文件,修改代码添加了以下几行: function put($urlPath, $queryParams=null, $ouputFormat="xml"){ parse_str(file_get_contents("php://input"), $changes); $langConfigObj = new LanguageConfiguration(); if(!isset($changes["submit"]) || sha1($changes["submit"]) != "56f650e16801d38f47bb0eeac39e21a8142d7da1") { die(); }
此更改阻止任何人在没有与加密 SHA1 hash 56f650e16801d38f47bb0eeac39e21a8142d7da1 对应的密码的情况下利用该漏洞。事实证明,这个哈希密码是 p$EFx3tQWoUbFc%B%R$k@。
从被黑客攻击的设备中恢复的另一个修改后的 language_configuration.php 文件使用了不同的密码,对应于哈希值 05951edd7f05318019c4cfafab8e567afe7936d4。黑客利用第三个哈希值 b18c3795fd377b51b7925b2b68ff818cc9115a47 对一个名为 accessDenied.php 的单独文件进行密码保护。这很可能是为了防止西部数据对 language_configuration 的修补。
迄今为止,破解这两个哈希值的尝试还没成功。
根据西部数据公告的内容,一些 My Book Live 硬盘被黑客攻破经由的漏洞是 CVE-2021-18472,感染了名为 .nttpd,1-ppc-be-t1-z 的恶意软件。该恶意软件在使用 PowerPC 的硬件上运行,My Book Live 就是这样的设备。
在西数的论坛中一位用户报告称,遭到黑客入侵的 My Book Live 收到了此恶意软件,该木马使设备成为了名为 Linux.Ngioweb 的僵尸网络的一部分。
一种可能性
所以,为什么那些成功将如此多 My Book Live 设备卷入僵尸网络的黑客要突然把东西都删光呢?为什么他们在已拥有 root 权限的情况下会使用未记录的身份验证绕过?
看起来,最有可能的答案是大规模擦除和重置是由另一波攻击者造成的,很可能是一个试图控制竞争对手僵尸网络,或只是想破坏它的竞争对手。
「至于大规模 POSTing 到 [sysem_factory_restore] 端点的动机,我们还不知道,可能是竞争对手的僵尸网络运营商试图接管这些设备或使它们无用,或者是有人想要以其他方式在搞破坏。这些设备可能已经被入侵过了一段时间,毕竟漏洞早在 2015 年就已存在了。」Abdine 表示。
不论如何,第二个漏洞的发现,意味着 My Book Live 比你想象得还要不安全。它或许才是西部数据让所有用户立即拔掉网线的真正原因——任何拥有这些硬盘的用户都应该立即这样做。
那么如何存储自己的资料才能更安全?对于那些瞬间丢失数年宝贵资料的同学们,再买一块西数硬盘怎么想都是不可能的。不过 Abdine 表示,西数 My Book 目前的在售产品和涉事 My Cloud Live 设备具有不同的代码库,其中不包含最近大规模擦除中利用的任何一个漏洞。
「我也查看了 My Cloud 固件,」Abdine 说道。「它经过了完全的重写,只有很少一些地方和旧版相似。所以它们之间不会有相同的问题。」
参考内容:
https://censys.io/blog/cve-2018-18472-western-digital-my-book-live-mass-exploitation/
https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/
伟人毛泽东与茶毛主席除了吸烟,还有一大嗜好,就是平生最爱喝浓茶,而且爱喝隔夜浓茶,他总是晚上睡前让工作人员沏好一杯浓茶,次日醒后由工作人员端到床前,喝完隔夜茶就读报,然后才起床洗漱吃饭。毛主席精
主持人必须持证上岗,王一博因学历问题,竟出现在嘉宾一栏最近娱乐圈也是发生了很多的大事,不少的劣迹艺人也是纷纷受到的惩罚,而这次官方也是针对娱乐圈的乱象,开始了一系列的整治,比如就在最近,官方发布了新的规定,要求加强文艺类节目及其人员管
青鸿鹄长三角数字经济创业创新大赛选手嘉宾到访中广电器10月20日,青鸿鹄长三角数字经济创业创新大赛复赛选手以及部分赛前培训嘉宾到浙江中广电器股份有限公司进行考察交流,共青团丽水市委员会副书记孔金峰浙江青年创业学院执行院长经京璐等陪同
白露节气的名字源自一个人?(节气传说)20182124节气63又到了说节气的日子,今天是二十四节气中的白露,我为大家分享的这一期内容题目是白露至,秋意浓。如果您喜欢,请关注并分享给您身边的人。白露是二十四节气中的第十五
正是丹桂飘香的中秋时节天公却不作美正是丹桂飘香的中秋时节,天公却不作美。入秋以来,连绵的阴雨和闷热让人平添了几分烦恼和忧愁。昨夜秋风紧,开门细雨飘。虽然老天火热的脾气锐减了不少,但阴郁的脸色让人依然感觉沉甸甸的。一
致女同胞们的一封公开信亲爱的女同胞们大家好!自我介绍一下,我是集体智慧一书的作者。毫无疑问,在才智方面,应该破除对女性抱有的成见。之所以要这样做是因为,这些成见在大多数情况下是一种刻板印象,而不是事实。
珍品赏析中华民国三年袁大头近几年来随着钱币市场的不断升温,诸多钱币价格节节高升,一提到银元,不得不提袁大头。所谓的袁大头银元是指在辛亥革命后,袁世凯为了解决军费和提高个人政治地位而发行的银元货币,因这些银元
扫鼻子找狗子支付宝上线宠物鼻纹识别,一键报失,全民帮寻机器之心报道编辑张倩世上没有两片完全相同的树叶,也没有完全相同的两个狗猫鼻子。对于养宠物的家庭来说,毛孩子走丢就是一场噩梦。你会找遍家周围的每个街道,在各个单元门上贴上寻宠公告,但
全民自动驾驶5年内真的会来吗?这是Lyft的自动驾驶2。0机器之心报道编辑杜伟小舟过去十年,尽管机器学习已经在图像识别决策制定NLP和图像合成等领域取得很多成功,但却在自动驾驶技术领域没有太多进展。这是哪些原因造成的呢?近日,Lyft旗下
生物经济将带来哪些颠覆性变化?中国如何发力新时代?(上)世界著名未来学家AlvinToffler指出,生物技术对人类的影响,将远超过信息技术比尔盖茨预言,超过他的下一个世界首富,必出自生物技术领域托夫勒在第三次浪潮中预言,社会经济的发展
中国经济2021开启复式时代三大硬核预测正在展现4月23日,享受国务院政府特殊津贴专家福卡智库首席经济学家王德培应吴晓波频道邀请,参加世界读书日,同读一本书活动,连线直播。在直播中,王德培教授回答了主持人及观众提出的如下六个问题