据外媒报道,上周对 Western Digital My Book Live 存储设备的大规模擦除不仅涉及利用一个漏洞,还涉及第二个关键安全漏洞,该漏洞允许黑客在没有密码的情况下远程执行恢复出厂设置。
上周,国外网友发帖:我在西部数据My Book Live NAS里的数据,一夜之间都没了!
并且通过客户端登陆管理页面,还会提示你密码无效。
有用户调取了设备日志,发现设备在无人监管的情况下自动运行了一个脚本,从而擦除了所有存储内容,恢复成了出厂设置:
西部数据则给出了一个最简单的解决方案:拔网线。
网盘立刻变移动硬盘。
根据官方声明,涉及的NAS设备已经停产,并且在2015年停止了固件更新。所以大概率是由于某个漏洞所致。而新的My Cloud 5以及My Cloud Home系列设备由于采用了新的安全架构,则不会受此影响。
换而言之,西部数据的解决方案相当于抛弃了老用户。
最近的调查找到了此次事件的原因:My Book Live系列固件的漏洞不仅可以让黑客获得root访问权限,而且另外一个漏洞居然允许黑客在远程可以直接绕过密码,直接让NAS设备恢复出厂设置!
未记录的漏洞存在于一个名为 system_factory_restore 的文件中。它包含一个执行重置的 PHP 脚本,允许用户恢复所有默认配置并擦除存储在设备上的所有数据。
通常,出于充分的理由,恢复出厂设置要求提出请求的人提供用户密码。这种身份验证确保暴露在 Internet 上的设备只能由合法所有者重置,而不能由恶意黑客重置。
但是,如下面的脚本所示,Western Digital 开发人员创建了五行代码来对重置命令进行密码保护。由于未知原因,身份验证检查被取消,或者用开发人员的话来说,它被注释掉了,如每行开头的双 / 字符所示。
|
网络发现平台Rumble的首席执行官、安全专家HD Moore对Ars表示:“供应商在系统恢复端点中对身份验证进行了注释,但这并不能让他们看起来很好。”就好像他们故意启用了旁路。”
要利用此漏洞,攻击者必须知道触发重置的XML请求的格式。Moore说,这“不像用GET请求随机访问一个URL那么容易,但(这)也不是那么遥远。”。
第二个漏洞的发现是在世界各地的人们报告他们的My Book Live 设备遭到破坏,然后恢复出厂设置以擦除所有存储的数据之后的五天。
My Book Live 是一种书本大小的存储设备,它使用以太网插孔连接到家庭和办公室网络,以便连接的计算机可以访问其中的数据。授权用户还可以通过 Internet 访问他们的文件并更改配置。西部数据于 2015 年停止支持 My Book Live。
西部数据人员在大规模擦除后发布了一份公告,称这是攻击者利用CVE-2018-18472 造成的。安全研究人员 Paulos Yibelo 和 Daniel Eshetu在 2018 年底发现了远程命令执行漏洞。因为它在 Western Digital 停止支持 My Book Live 三年后曝光,该公司从未修复它。
Ars 和安全公司 Censys 的 CTO Derek Abdine 进行的一项分析发现,上周遭受大规模黑客攻击的设备也受到了利用未授权重置漏洞的攻击。额外的漏洞记录在从两个被黑设备中提取的日志文件中。
其中一个日志发布在西部数据支持论坛上,大规模妥协首次曝光。它显示来自 IP 地址 94.102.49.104 的某人成功恢复设备:
一个第二个日志文件我得到来自黑客的My Book Live设备表现出不同的IP地址23.154.177.131,利用同样的漏洞。以下是告白行:
在将这些发现提交给西部数据代表后,我收到了以下确认:“我们可以确认,至少在某些情况下,攻击者利用了命令注入漏洞 (CVE-2018-18472),然后是恢复出厂设置漏洞。目前尚不清楚为什么攻击者会利用这两个漏洞。我们将为恢复出厂设置漏洞请求 CVE,并将更新我们的公告以包含此信息。”
这一发现提出了一个令人困惑的问题:如果黑客已经通过利用CVE-2018-18472获得了完全的root权限,那么他们有什么必要利用这第二个安全漏洞?
一切都很未知。
Abdine提出了一个合理的理论——一个黑客首先利用了CVE-2018-18472,另一名黑客后来利用了另一个漏洞,试图夺取对那些已经被入侵的设备的控制权。
利用CVE-2018-18472的攻击者利用其提供的代码执行能力,修改了My Book Live堆栈中一个名为language_configuration.php的文件,这就是该漏洞所在。根据一个恢复的文件,该修改添加了以下几行:
|
到目前为止,除了拔网线以外,还没有有效的破解方法。
参考来源:arstechnica.com
责编:Demi
最前沿的电子设计资讯
