駭客利用漏洞在遠端抹除了 WD NAS 上的數據

·2 分鐘文章
typing
typing

WD 的 My Book Live 及 My Book Live Duo 兩款個人雲端儲存裝置(NAS) 的用戶,早前發現自己裝置上的資料竟然一夕之間被抹除了。官方將其怪罪於先前一個代號 CVE-2021-35941 的漏洞,但由 Ars Technica 和安全公司 Censys 的 CTO Derek Abdine 所共同進行的調查揭露,其實資料被抹除是因為一個名為「system_factory_restore」的檔案中,有著沒有被發現的另一個漏洞。

這個漏洞說起來蠻不可思議的 —— 一如檔案名所示,這是在一個將 NAS 裝置回復到原廠設定的腳本檔案,一般來說在腳本中會要求用戶輸入密碼,才能進行系統重設。但在 My Book Live 上,要求用戶輸入密碼的那段程式碼,被「註釋」掉了,使得 My Book Live 缺少了這層重要的保護。無論 WD 的工程師是有意還是無心,對這 WD 都是個重大的缺失,讓駭客得以隨意將用戶的 NAS 回復到原廠設定,並在過程中抹除檔案。

問題是,駭客之前利用 CVE-2021-35941 時的做法,是在 NAS 中植入惡意軟體,將 NAS 變成殭屍網路(botnet)的一部份。將 NAS 加入 botnet 和將其抹除回復原廠設定,顯然是兩個相互衝突的行為,如果是同一群駭客所為,並不合理。因此 Abdine 推測,或許有兩群駭客在相互較勁,一方在利用 CVE-2021-35941 將 NAS 納入殭屍網路,另一方則是在消去前者的作為。

無論駭客的意圖如何,My Book Live 受到兩種不一樣的攻擊,對 WD 的安全性和形象來說都是致命的衝擊。所幸的是 My Book Live 和 My Book Live Duo 都是相當古老的產品(分別在 2011 和 2012 年上市),現存的用戶數量應該不會太龐大,但如果還在使用的話,最好儘速遵照 WD 的建議,將網路線拔除了。

我們致力為用戶建立安全而有趣的平台,讓他們與志同道合的用戶聯繫交流。為改善我們的社群體驗,我們暫時停用文章留言功能