电竞菠菜分析变压器厂家动态 大量西数硬盘被格式化,因为或是暗客互相抨击:还有新漏洞

栏目分类
电竞菠菜分析变压器厂家动态

你的位置:电竞菠菜分析 > 电竞菠菜分析变压器厂家动态 > 电竞菠菜分析变压器厂家动态 大量西数硬盘被格式化,因为或是暗客互相抨击:还有新漏洞

电竞菠菜分析变压器厂家动态 大量西数硬盘被格式化,因为或是暗客互相抨击:还有新漏洞

发布日期:2021-07-14 23:49    点击次数:117

上周四电竞菠菜分析变压器厂家动态,大量西部数据 My Book 移动硬盘用户数据被长途清空的事件引发了多人关注。由于西数官方请求用户拔失踪网线,事情最先变得有些紊乱。

本周,又有坦然人员爆出了这些硬盘还存在新的漏洞。

一项调查表现,抨击者对于 My Book Live 存储设备的大周围擦除不光涉及行使 2018 年的老漏洞,还涉及第二个关键坦然漏洞,该漏洞批准暗客在异国暗号的情况下长途实走恢复出厂竖立。

更值得仔细的是,按照漏洞代码的情况来望,西部数据的开发者有意往除了恢复出厂竖立时必要验证用户名和暗号的步骤。

身份验证检查程序被注解失踪

这个未被记录的漏洞位于一个名为 system_factory_restore 的文件中。该文件包含一个可实走重置 PHP 脚本,批准用户恢复一切默认配置和擦除存储在设备上的一切数据。

清淡情况下电竞菠菜分析变压器厂家动态,恢复出厂竖立必要用户挑供用户暗号。这栽身份验证确保袒露在互联网上的设备只能由相符法一切者重置,而不是由凶意抨击者重置。

但是,如下面的脚本所示,西部数据开发人员创建了 5 走代码来对 reset 命令进走暗号珍惜。由于未知的因为,身份验证检查被作废了,或者用开发人员的话说,它被注解失踪了,如每走起头的「//」符所示。

function post($urlPath, $queryParams = null, $ouputFormat = 'xml') { // if(!authenticateAsOwner($queryParams)) // { // header("HTTP/1.0 401 Unauthorized"); // return; // } 

坦然行家兼网络发现平台 Rumble 的首席实走官 HD Moore 认为:「在编制恢复端点中注解失踪身份验证的供答商,这栽做法不会让事情有利于他们,就相通他们有意启用了旁路。」

「要行使此漏洞,抨击者必须晓畅触发重置的 XML 乞求的格式。这不像行使 GET 乞求访问随机 URL 那样容易,但也不是那么难以做到,」Moore 说。

吾的数据哪往了?

在发现第二个漏洞的前五天,全世界的人都通知说,他们的 My Book Live 设备遭到损坏,然后恢复出厂竖立,一切存储的数据都被消弭。My Book Live 是一栽书本大幼的存储设备,它行使以太网接口连接到家庭和办公室网络,以便连接的计算机能够访问其中的数据。授权用户还能够议决 Internet 访问他们的文件并进走配置更改。西部数据在 2015 年对旧版 My Book Live 停留了技术声援。

西部数据人员在发现大周围擦除数据后发布了一份公告,称这是抨击者行使 CVE-2018-18472 造成的。坦然钻研人员 Paulos Yibelo 和 Daniel Eshetu 在 2018 岁暮发现了长途命令实走漏洞。由于它在西部数据停留声援 My Book Live 三年后曝光,就像此古人们所报道的相通,该公司从未往修复它。

在 Arstechnica 和坦然公司 Censys 的 CTO Derek Abdine 进走的一项分析发现电竞菠菜分析变压器厂家动态,上周围全大周围暗客抨击的设备也受到了行使未授权重置漏洞的抨击。在从两个被抨击的设备挑取的日志文件中记录了抨击。

其中一个日志文件发布在西部数据声援的论坛上,它表现有人从 IP 地址为 94.102.49.104 成功恢复一个设备:

rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104  PARAMETER System_factory_restore POST : erase = none rest_api.log.1:Jun 23 15:46:11 MyBookLiveDuo REST_API[9529]: 94.102.49.104 OUTPUT System_factory_restore POST SUCCESS 

第二个日志文件从被抨击者侵犯的 My Book Live 设备上获取,文件表现另一个 IP 地址为 23.154.177.131,行使了相通的漏洞。如下所示:

Jun 16 07:28:41 MyBookLive REST_API[28538]: 23.154.177.131 PARAMETER  System_factory_restore POST : erase = format Jun 16 07:28:42 MyBookLive REST_API[28538]: 23.154.177.131 OUTPUT  System_factory_restore POST SUCCESS 

在将这些发现挑交给西部数据后,坦然人员收到了以下回复:「吾们能够确认,起码在某些情况下,抨击者行使了命令注入漏洞 (CVE-2018-18472),其次是恢复出厂竖立漏洞。现在尚不晓畅为什么抨击者会行使这两个漏洞。吾们将为恢复出厂竖立漏洞乞求 CVE,并将更新吾们的公告以包含此新闻。」

漏洞被暗号珍惜了

这一发现挑出了一个棘手的题目:倘若暗客已经议决行使 CVE-2018-18472 获得了十足的 root 访问权限,那么他们对第二个坦然漏洞有什么必要?现在还异国清晰的答案,但按照现有的证据,Abdine 挑出了一个貌似相符理的理论,即别名暗客最先行使 CVE-2018-18472 进走抨击,而另别名竞争对手随后行使了另一个漏洞,试图争夺那些已经受到抨击的设备的限制权。

抨击者行使 CVE-2018-18472 挑供的代码实走能力修改了 My Book Live 堆栈中名为 language_configuration.php 的文件,该文件就是漏洞所在位置,按照恢复文件,修改代码增补了以下几走:

function put($urlPath, $queryParams=null, $ouputFormat='xml'){       parse_str(file_get_contents("php://input"), $changes);       $langConfigObj = new LanguageConfiguration();     if(!isset($changes["submit"]) || sha1($changes["submit"]) != "56f650e16801d38f47bb0eeac39e21a8142d7da1")     {     die();     } 

此更改不准任何人在异国与添密 SHA1 hash 56f650e16801d38f47bb0eeac39e21a8142d7da1 对答的暗号的情况下行使该漏洞。原形表明电竞菠菜分析变压器厂家动态,这个哈希暗号是 p$EFx3tQWoUbFc%B%R$k@。

从被暗客抨击的设备中恢复的另一个修改后的 language_configuration.php 文件行使了迥异的暗号,对答于哈希值 05951edd7f05318019c4cfafab8e567afe7936d4。暗客行使第三个哈希值 b18c3795fd377b51b7925b2b68ff818cc9115a47 对一个名为 accessDenied.php 的单独文件进走暗号珍惜。这很能够是为了防止西部数据对 language_configuration 的修缮。

迄今为止,破解这两个哈希值的尝试还没成功。

按照西部数据公告的内容,一些 My Book Live 硬盘被暗客攻破经由的漏洞是 CVE-2021-18472,感染了名为 .nttpd,1-ppc-be-t1-z 的凶意柔件。该凶意柔件在行使 PowerPC 的硬件上运走,My Book Live 就是云云的设备。

在西数的论坛中一位用户通知称,遭到暗客侵犯的 My Book Live 收到了此凶意柔件,该木马使设备成为了名为 Linux.Ngioweb 的僵尸网络的一片面。

一栽能够性

以是,为什么那些成功将如此多 My Book Live 设备卷入僵尸网络的暗客要骤然把东西都删光呢?为什么他们在已拥有 root 权限的情况下会行使未记录的身份验证绕过?

望首来,最有能够的答案是大周围擦除和重置是由另一波抨击者造成的,很能够是一个试图限制竞争对手僵尸网络,或只是想损坏它的竞争对手。

「至于大周围 POSTing 到 [sysem_factory_restore] 端点的动机,吾们还不晓畅,能够是竞争对手的僵尸网络运营商试图接管这些设备或使它们无用,或者是有人想要以其他手段在搞损坏。这些设备能够已经被侵犯过了一段时间,毕竟漏洞早在 2015 年就已存在了。」Abdine 外示。

岂论如何,第二个漏洞的发现,意味着 My Book Live 比你想象得还要担心然。它也许才是西部数据让一切用户立即拔失踪网线的真实因为——任何拥有这些硬盘的用户都答该立即云云做。

那么如何存储本身的原料才能更坦然?对于那些刹时丢失数年珍贵原料的同学们,再买一块西数硬盘怎么想都是不能够的。不过 Abdine 外示,西数 My Book 现在的在售产品和涉事 My Cloud Live 设备具有迥异的代码库,其中不包含比来大周围擦除中行使的任何一个漏洞。

「吾也查望了 My Cloud 固件,」Abdine 说道。「它经过了十足的重写,只有很少一些地方和旧版相通。以是它们之间不会有相通的题目。」

【编辑选举】电竞菠菜分析变压器厂家动态

PHP漏洞发掘(三):PHP工具开发实战 西数:暗客行使长途漏洞抹除My Book用户数据 正钻研湮没恢复方案 L4自动驾驶漏洞:感知算法能够无法避开人工3D凶意窒碍物 Adata遭Ragnar Locker勒索进攻 抨击者特意行使这一编制漏洞! GitHub 漏洞悬赏:支付赏金已超过 150 万美元

上一篇:电竞菠菜分析变压器厂家动态 北京始批网站 App 适老化改造挑速:美团、滴滴等“洗心革面”

下一篇:电竞菠菜分析变压器厂家动态 科技大佬下周齐聚太阳谷:库克和扎克伯格能共进晚餐吗?

Powered by 电竞菠菜分析 @2013-2021 RSS地图 HTML地图