駭客利用漏洞在遠端抹除了 WD NAS 上的數據

WD 的 My Book Live 及 My Book Live Duo 兩款個人雲端儲存裝置（NAS） 的用戶，早前發現自己裝置上的資料竟然一夕之間被抹除了。官方將其怪罪於先前一個代號 CVE-2021-35941 的漏洞，但由 Ars Technica 和安全公司 Censys 的 CTO Derek Abdine 所共同進行的調查揭露，其實資料被抹除是因為一個名為「system_factory_restore」的檔案中，有著沒有被發現的另一個漏洞。

這個漏洞說起來蠻不可思議的 —— 一如檔案名所示，這是在一個將 NAS 裝置回復到原廠設定的腳本檔案，一般來說在腳本中會要求用戶輸入密碼，才能進行系統重設。但在 My Book Live 上，要求用戶輸入密碼的那段程式碼，被「註釋」掉了，使得 My Book Live 缺少了這層重要的保護。無論 WD 的工程師是有意還是無心，對這 WD 都是個重大的缺失，讓駭客得以隨意將用戶的 NAS 回復到原廠設定，並在過程中抹除檔案。

問題是，駭客之前利用 CVE-2021-35941 時的做法，是在 NAS 中植入惡意軟體，將 NAS 變成殭屍網路（botnet）的一部份。將 NAS 加入 botnet 和將其抹除回復原廠設定，顯然是兩個相互衝突的行為，如果是同一群駭客所為，並不合理。因此 Abdine 推測，或許有兩群駭客在相互較勁，一方在利用 CVE-2021-35941 將 NAS 納入殭屍網路，另一方則是在消去前者的作為。

無論駭客的意圖如何，My Book Live 受到兩種不一樣的攻擊，對 WD 的安全性和形象來說都是致命的衝擊。所幸的是 My Book Live 和 My Book Live Duo 都是相當古老的產品（分別在 2011 和 2012 年上市），現存的用戶數量應該不會太龐大，但如果還在使用的話，最好儘速遵照 WD 的建議，將網路線拔除了。