編輯：Emil、小勻

【新智元導讀】一項調查顯示，上週發生在西部資料 My Book Live 上的「大規模資料刪除」事件不僅涉及一個漏洞，還涉及第二個！該漏洞甚至允許駭客在沒有密碼的情況下遠端執行恢復出廠設定。

如今影像功能成了新款智慧手機宣傳的主要噱頭。

1億畫素、4k甚至是8k影片拍攝屢見不鮮。但是在這背後就是資料的爆炸：一張一億畫素的照片最高可能達到20MB，一分鐘的8k影片需要吞掉2GB的儲存空間。

看來想要把手機當生產力工具來使用，512GB的儲存空間都有點捉襟見肘了。

想要使用不限速的大容量網盤服務？先把年費付一下。

如果不甘心被綁架，那自己組建一個不限速的簡易的大容量網路儲存裝置（NAS），絕對是個好主意。

如今越來越多的硬碟廠商提供了類似的產品，只要把這套裝置連線自家的網路，就可以隨時隨地訪問以及備份資料，且速度上限就是家裡的網路頻寬。

但是把重要檔案備份在自己的NAS上靠譜嗎？

我的NAS突然空空如也？

上週，國外網友發帖：我在西部資料My Book Live NAS裡的資料，一夜之間都沒了！

並且透過客戶端登陸管理頁面，還會提示你密碼無效。

硬碟就這樣罷工了！隨之消失的，還有你手機拍攝的珍貴照片和影片，還有珍藏的電影。

如果你恰巧在手機上刪除了這些檔案來清理空間，並且沒有第二個備份的話，這就意味著這些珍貴資料你永遠找不回來了。

有使用者調取了裝置日誌，發現裝置在無人監管的情況下自動運行了一個指令碼，從而擦除了所有儲存內容，恢復成了出廠設定：

西部資料當時也是一頭霧水，於是給出了一個最簡單的解決方案：拔網線。

網盤立刻變行動硬碟。

根據官方宣告，涉及的NAS裝置已經停產，並且在2015年停止了韌體更新。所以大機率是由於某個漏洞所致。而新的My Cloud 5以及My Cloud Home系列裝置由於採用了新的安全架構，則不會受此影響。

西部資料這樣拋棄老使用者的行為著實有點上不了檯面。

如今，這次事件破案了。

居然還有另一個Bug

最近的調查詢到了此次事件的原因：My Book Live系列韌體的漏洞不僅可以讓駭客獲得root訪問許可權，而且另外一個漏洞居然允許駭客在遠端可以直接繞過密碼，直接讓NAS裝置恢復出廠設定！

這個漏洞存在於一個名為 system_factory_restore 的檔案中。它包含一個執行重置的 PHP 指令碼，允許使用者恢復所有預設配置並擦除儲存在裝置上的所有資料。

通常，恢復出廠設定要求提出請求的人提供使用者密碼。

但是，如下面的指令碼所示，西部資料開發人員建立了五行程式碼來對重置命令進行密碼保護。由於未知原因，身份驗證檢查被取消，或者用開發人員的話來說，它被註釋掉了，如每行開頭的雙 / 字元所示。

「這就像他們故意啟用了繞過的方法。」一位網路安全專家說。

要利用這個漏洞，攻擊者必須知道觸發系統重置的XML請求格式。這不像用GET請求打擊一個隨機的URL那麼容易，但也相差不遠。

這個漏洞目前無解

這一發現提出了一個令人困惑的問題：如果駭客已經透過利用CVE-2018-18472獲得了完全的root許可權，那麼他們有什麼必要利用這第二個安全漏洞？

一切都很未知。

Abdine提出了一個合理的理論——一個駭客首先利用了CVE-2018-18472，一個競爭對手的駭客後來利用了另一個漏洞，試圖奪取對那些已經被入侵的裝置的控制權。

利用CVE-2018-18472的攻擊者利用其提供的程式碼執行能力，修改了My Book Live堆疊中一個名為language_configuration。php的檔案，這就是該漏洞所在。根據一個恢復的檔案，該修改添加了以下幾行。

到目前為止，還除了拔網線以外，還沒有有效的破解方法。

此次事件嚴重打擊了使用者對於西部資料裝置的信心，相信那些資料被清零的使用者以後再也不會購買任何一款西部資料的產品了。

不過專家建議可以用新的 My Cloud Live 裝置取代西部資料的 My Book Live 產品，就像之前說的，它具備了新的安全架構，不包含這次事件中的任何一個漏洞。

所以，你還會買嗎？

參考資料：

https：//arstechnica。com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/