快捷搜索:  as  test  创意文化园1  创意文化园  江素盈  伍淼鑫  (95=95)*88888  88888

新2手机管理端网址(www.x2w0000.com):大量西数硬盘被花样化,缘故原由或是黑客相互攻击:另有新破绽

足球免费推介

www.zq68.vip)是国内最权威的足球赛事报道、预测平台。免费提供赛事直播,免费足球贴士,免费足球推介,免费专家贴士,免费足球推荐,最专业的足球心水网。

,

机械之心报道

编辑:泽南、陈萍

你的硬盘可能早就被黑客破解用来挖矿了,最近突然的自动花样化,是由于另一波黑客要和他们「抢地皮」。

上周四,大量西部数据 My Book 移动硬盘用户数据被远程清空的事宜引发了众人关注。由于西数官方要求用户拔掉网线,事情最先变得有些杂乱。

本周,又有平安职员爆出了这些硬盘还存在新的破绽。

一项观察显示,攻击者对于 My Book Live 存储装备的大规模擦除不仅涉及行使 2018 年的老破绽,还涉及第二个要害平安破绽,该破绽允许黑客在没有密码的情形下远程执行恢复出厂设置。

更值得注重的是,凭证破绽代码的情形来看,西部数据的开发者有意去除了恢复出厂设置时需要验证用户名和密码的步骤。

身份验证检查程序被注释掉

这个未被纪录的破绽位于一个名为 system_factory_restore 的文件中。该文件包罗一个可执行重置 PHP 剧本,允许用户恢复所有默认设置和擦除存储在装备上的所有数据。

通常情形下,恢复出厂设置需要用户提供用户密码。这种身份验证确保露出在互联网上的装备只能由正当所有者重置,而不是由恶意攻击者重置。

然则,如下面的剧本所示,西部数据开发职员确立了 5 行代码来对 reset 下令举行密码珍爱。由于未知的缘故原由,身份验证检查被作废了,或者用开发职员的话说,它被注释掉了,如每行开头的「//」符所示。

平安专家兼网络发现平台 Rumble 的首席执行官 HD Moore 以为:「在系统恢复端点中注释掉身份验证的供应商,这种做法不会让事情有利于他们,就似乎他们有意启用了旁路。」

「要行使此破绽,攻击者必须知道触发重置的 XML 请求的花样。这不像使用 GET 请求接见随机 URL 那样容易,但也不是那么难以做到,」Moore 说。

我的数据哪去了?

在发现第二个破绽的前五天,全天下的人都讲述说,他们的 My Book Live 装备遭到损坏,然后恢复出厂设置,所有存储的数据都被祛除。My Book Live 是一种书籍巨细的存储装备,它使用以太网接口毗邻抵家庭和办公室网络,以便毗邻的盘算机可以接见其中的数据。授权用户还可以通过 Internet 接见他们的文件并举行设置更改。西部数据在 2015 年对旧版 My Book Live 住手了手艺支持。

西部数据职员在发现大规模擦除数据后宣布了一份通告,称这是攻击者行使 CVE-2018-18472 造成的。平安研究职员 Paulos Yibelo 和 Daniel Eshetu 在 2018 年底发现了远程下令执行破绽。由于它在西部数据住手支持 My Book Live 三年后曝光,就像此前人们所报道的一样,该公司从未去修复它。

在 Arstechnica 和平安公司 Censys 的 CTO Derek Abdine 举行的一项剖析发现,上周遭到大规模黑客攻击的装备也受到了行使未授权重置破绽的攻击。在从两个被攻击的装备提取的日志文件中纪录了攻击。

其中一个日志文件宣布在西部数据支持的论坛上,它显示有人从 IP 地址为 94.102.49.104 乐成恢复一个装备:

第二个日志文件从被攻击者入侵的 My Book Live 装备上获取,文件显示另一个 IP 地址为 23.154.177.131,行使了相同的破绽。如下所示:

在将这些发现提交给西部数据后,平安职员收到了以下回复:「我们可以确认,至少在某些情形下,攻击者行使了下令注入破绽 (CVE-2018-18472),其次是恢复出厂设置破绽。现在尚不清晰为什么攻击者会行使这两个破绽。我们将为恢复出厂设置破绽请求 CVE,并将更新我们的通告以包罗此信息。」

新2手机管理端网址

www.x2w0000.com)实时更新发布最新最快的新2手机管理端网址、新2会员线路、新2备用登录网址、新2手机管理端、新2手机版登录网址、新2皇冠登录网址。

破绽被密码珍爱了

这一发现提出了一个棘手的问题:若是黑客已经通过行使 CVE-2018-18472 获得了完全的 root 接见权限,那么他们对第二个平安破绽有什么需要?现在还没有明确的谜底,但凭证现有的证据,Abdine 提出了一个貌似合理的理论,即一名黑客首先行使 CVE-2018-18472 举行攻击,而另一名竞争对手随后行使了另一个破绽,试图争取那些已经受到攻击的装备的控制权。

攻击者行使 CVE-2018-18472 提供的代码执行能力修改了 My Book Live 客栈中名为 language_configuration.php 的文件,该文件就是破绽所在位置,凭证恢复文件,修改代码添加了以下几行:

此更改阻止任何人在没有与加密 SHA1 hash 56f650e16801d38f47bb0eeac39e21a8142d7da1 对应的密码的情形下行使该破绽。事实证实,这个哈希密码是 p$EFx3tQWoUbFc%B%R$k@。

从被黑客攻击的装备中恢复的另一个修改后的 language_configuration.php 文件使用了差其余密码,对应于哈希值 05951edd7f05318019c4cfafab8e567afe7936d4。黑客行使第三个哈希值 b18c3795fd377b51b7925b2b68ff818cc9115a47 对一个名为 accessDenied.php 的单独文件举行密码珍爱。这很可能是为了防止西部数据对 language_configuration 的修补。

迄今为止,破解这两个哈希值的实验还没乐成。

凭证西部数据通告的内容,一些 My Book Live 硬盘被黑客攻破经由的破绽是 CVE-2021-18472,熏染了名为 .nttpd,1-ppc-be-t1-z 的恶意软件。该恶意软件在使用 PowerPC 的硬件上运行,My Book Live 就是这样的装备。

在西数的论坛中一位用户讲述称,遭到黑客入侵的 My Book Live 收到了此恶意软件,该木马使装备成为了名为 Linux.Ngioweb 的僵尸网络的一部门。

一种可能性

以是,为什么那些乐成将云云多 My Book Live 装备卷入僵尸网络的黑客要突然把器械都删光呢?为什么他们在已拥有 root 权限的情形下会使用未纪录的身份验证绕过?

看起来,最有可能的谜底是大规模擦除和重置是由另一波攻击者造成的,很可能是一个试图控制竞争对手僵尸网络,或只是想损坏它的竞争对手。

「至于大规模 POSTing 到 [sysem_factory_restore] 端点的念头,我们还不知道,可能是竞争对手的僵尸网络运营商试图接受这些装备或使它们无用,或者是有人想要以其他方式在搞损坏。这些装备可能已经被入侵过了一段时间,事实破绽早在 2015 年就已存在了。」Abdine 示意。

岂论若何,第二个破绽的发现,意味着 My Book Live 比你想象得还要不平安。它或许才是西部数据让所有用户立刻拔掉网线的真正缘故原由――任何拥有这些硬盘的用户都应该立刻这样做。

那么若何存储自己的资料才气更平安?对于那些瞬间丢失数年名贵资料的同砚们,再买一块西数硬盘怎么想都是不能能的。不外 Abdine 示意,西数 My Book 现在的在售产物和涉事 My Cloud Live 装备具有差其余代码库,其中不包罗最近大规模擦除中行使的任何一个破绽。

「我也查看了 My Cloud 固件,」Abdine 说道。「它经由了完全的重写,只有很少一些地方和旧版相似。以是它们之间不会有相同的问题。」

参考内容:

https://censys.io/blog/cve-2018-18472-western-digital-my-book-live-mass-exploitation/

https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/

WAIC AI开发者论坛:后深度学习的AI时代

7月8日―10日,AI 开发者论坛将通过三大焦点模块:AI开发者论坛WAIC・ 开发者黑客松WAIC・ 云帆奖展示今年度人工智能领域最前沿的研究偏向和手艺功效。

7月10日WAICAI开发者论坛约请到多位业界大咖带来精彩分享,主题涵盖大规模语言智能、SysML(机械学习系统)、多模态机械学习及大规模自动天生手艺、RISC-V手艺及生态、AI 原生盘算机系统等热门话题,知足 AI 开发者多条理的学习需求。

在精彩的分享外,我们还准备了RTX 3060 显卡、HHKB键盘、Air Tag、人工智能专业书籍、桌搭鼠标垫,现场签到即可介入抽取。

识别下方二维码,立刻报名。

THE END

发表评论
sunbet声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: