Sicherheitslücke: Western Digital My Book Live vom Internet trennen

noodyn

Aktives Mitglied
Thread Starter
Registriert
16.08.2008
Beiträge
13.334
Da es sicher den ein oder anderen Mitleser gibt, der noch eine WD My Book Live einsetzt, hier ein dringender Sicherheitshinweis:
https://www.heise.de/news/Western-D...ie-Ihre-Festplatten-vom-Internet-6119250.html

Da die Firmware der Geräte nicht mehr gepflegt wird, können Daten auf Festplatten der WD-Baureihe My Book Live von extern gelöscht und durch fremde Passwörter unzugänglich gemacht werden. Western Digital will Betroffene im eigenen Forum auf dem Laufenden halten. Ein Blick in das entsprechende Forum bei WD sollte daher der erste Schritt sein.
 

mausfang

Aktives Mitglied
Registriert
04.08.2016
Beiträge
2.221
Interessant… wie muss man sich das vorstellen?
Wenn ich das Gerät in meinem LAN verwende ohne Portforwardings vom Router … ist es dann vom Internet getrennt, oder nicht?
 

mausfang

Aktives Mitglied
Registriert
04.08.2016
Beiträge
2.221
Hast Du ihn gelesen?!

Das steht dort nicht … sonst würde ich nicht explizit fragen was „vom Internet trennen in dem Kontext der Sicherheitslücke“ bedeutet …

Falls Du pöbeln willst … dann such Dir gerne jemand anderen.

Wenn das Ding hinter einem NAT-Router sitzt … ist es dann angreifbar oder nicht?
Wenn Du darauf ne Antwort hast, dann wäre das ein Beitrag …
 

iQuaser

Mitglied
Registriert
25.07.2008
Beiträge
879
Ich würde auf Nummer sicher gehen, der MyBook eine feste IP-Adresse geben und dieser in der FritzBox den Internetzugriff sperren.
 

tocotronaut

Aktives Mitglied
Registriert
14.01.2006
Beiträge
27.990
das wäre ausgehend...
Hier wird aber eingehend zugegriffen und der Löschbefehl abgesetzt.

Es zählt so wie ich es gelesen habe nur für geräte, die auch aus dem Internet erreichbar sind.

Eine Internetfestplatte, die nicht mehr erreichbar ist kann man auch ganz abschalten ^^
Ob sie einem den Kaufpreis erstatten?
 

efx

Mitglied
Registriert
21.01.2005
Beiträge
851
Statische IP verpassen und Gateway/Router Eintrag löschen oder auf eine freie lokale IP stellen, dann ist die Kiste sicher vor Zugriffen vom oder zum Internet.
 

mausfang

Aktives Mitglied
Registriert
04.08.2016
Beiträge
2.221
Ich ziehe mir gerade den Thread im WD Community-Forum rein. Etliche Leute betroffen. Etliche Leute, die kein Backup ihrer Daten auf den Geräten haben.

Habe gerade noch mal geschaut ... ich persönlich habe 2 WD MyBook Geräte ... habe noch mal geschaut, dass die Cloud-Funktionalität deaktiviert ist. Außerdem auf den Fritzboxen, die vor den Geräten als Router ins Internet platziert sind die MyBooks gesperrt.

Mir ist immer noch nicht ganz klar, wie jemand von außen den Geräten Befehle erteilen kann.
Erste Mutmaßungen in dem Community-Thread sind zwar vorhanden (in die Richtung, dass der Factory-Reset-Befehl über die WD-Infrastruktur an die Geräte gesendet wurde) ... aber hm ...
 

xentric

Aktives Mitglied
Registriert
11.05.2007
Beiträge
4.209
Mir ist immer noch nicht ganz klar, wie jemand von außen den Geräten Befehle erteilen kann.
Erste Mutmaßungen in dem Community-Thread sind zwar vorhanden (in die Richtung, dass der Factory-Reset-Befehl über die WD-Infrastruktur an die Geräte gesendet wurde) ... aber hm ...
Ungepatche Sicherheitslücke von 2018: https://nvd.nist.gov/vuln/detail/CVE-2018-18472
Siehe Stellungsname von WD: https://www.westerndigital.com/supp...urity-measures-wd-mybooklive-wd-mybookliveduo

[.. ]The My Book Live and My Book Live Duo devices received its final firmware update in 2015. We understand that our customers’ data is very important.[..]

Advisory Summary​

At this time, we recommend you disconnect your My Book Live and My Book Live Duo from the Internet to protect your data on the device.
CVE Number: CVE-2018-18472

Mehr Infos zur der Lücke von den Findern: https://www.wizcase.com/blog/hack-2018/

Hat also nichts mit der WD-Infrastruktur zu tun. Eher damit, dass WD meint "out of support" == keine Sicherheitsfixes. Aber ist ja bei dem IoT-Spielzeug keine Neuigkeit mehr.
 
Zuletzt bearbeitet:

mausfang

Aktives Mitglied
Registriert
04.08.2016
Beiträge
2.221

Current Description​

Western Digital WD My Book Live and WD My Book Live Duo (all versions) have a root Remote Command Execution bug via shell metacharacters in the /api/1.0/rest/language_configuration language parameter. It can be triggered by anyone who knows the IP address of the affected device, as exploited in the wild in June 2021 for factory reset commands,

Ok.
Im WD-Community-Thread ... (ich bin noch nicht ganz durch) ... stellt man sich aber berechtigterweise die Frage, wieso so viele Geräte auf einen Schlag betroffen sind. Die IP-Adressen ... die liegen ja WD vor ... darum die Mutmaßung diese wurden evtl. WD "entwendet" oder die Geräte über deren Infrastruktur erreicht.
 

xentric

Aktives Mitglied
Registriert
11.05.2007
Beiträge
4.209
Ok.
Im WD-Community-Thread ... (ich bin noch nicht ganz durch) ... stellt man sich aber berechtigterweise die Frage, wieso so viele Geräte auf einen Schlag betroffen sind. Die IP-Adressen ... die liegen ja WD vor ... darum die Mutmaßung diese wurden evtl. WD "entwendet" oder die Geräte über deren Infrastruktur erreicht.
Ich hab keine Ahnung wie die das genau gemacht haben, aber da die Geräte ja übers Internet erreichbar waren, werden die vorher einfach mal das Internet durchgescannt und alle verwundbaren Geräte registriert haben. Zu einem späteren Zeitpunkt haben sie dann nur diese gleichzeitig angegriffen. Könnte ich mir so jedenfalls vorstellen.

So viele Daten mussten die ja auch nicht schicken für den Angriff.
 

mausfang

Aktives Mitglied
Registriert
04.08.2016
Beiträge
2.221
Ich hab keine Ahnung wie die das genau gemacht haben, aber da die Geräte ja übers Internet erreichbar waren, werden die vorher einfach mal das Internet durchgescannt und alle verwundbaren Geräte registriert haben. Zu einem späteren Zeitpunkt haben sie dann nur diese gleichzeitig angegriffen. Könnte ich mir so jedenfalls vorstellen.

So viele Daten mussten die ja auch nicht schicken für den Angriff.
Bin jetzt durch den Thread durch.

Es spielt keine Rolle ob die Cloud-Funktionalität der WD-Software auf den Geräten aktiviert war oder nicht.
Momentan sieht es so aus, dass UPnP im Internet-Router bei den Betroffenen aktiviert war und darum die bekannte Sicherheitslücke ausgenutzt werden konnte.

Obwohl meine beiden MyCloud-Geräte nicht zu den betroffenen Geräte-Reihen gehören, denke ich darüber nach die Festplatten auszubauen und als Teil einer anderen Backup-Strategie zu nutzen. Ohne crappy-WD-Firmware.
 

OmarDLittle

Aktives Mitglied
Registriert
21.05.2017
Beiträge
2.677
Ich habe immer von diesen billigen NAS mit ihren "Cloud"-Funktionen abgeraten - kosten kaum mehr als die Festplatten selbst, natürlich kann da keine gute Softwarepflege dahinterstehen. Das wird dann meistens mit irgendwelchen Argumenten abgewiesen, zB dass es sich ja um eine namhafte Marke handelt. Selbst bei wirklichen Markengeräten wie Synology (und ich glaub auch bei Qnap) gab es in der Vergangenheit unerlaubte Zugriffe, Cryptolocker oder Daten gelöscht.

Diesem Zeug darf man nicht vertrauen, schon gar nicht wenn es sich um Storage handelt wo die ganzen (persönlichen) Daten abgespeichert sind.

Als Laie kann man keine aus dem Internet erreichbaren Services zuhause betreiben, es geht schlicht nicht. Woher sollen diese Kunden überhaupt gewusst haben, dass ihr Produkt EOL ist? Oder dass man Updates benötigt um Sicherheitslücken zu schließen? Das schreibt die Marketingabteilung nicht auf die Verpackung drauf.

In diesem Fall hat sich anscheinend der WD-Schrott mittels UPnP selbst das Einfallstor geöffnet. UPnP wird außerdem von Schadsoftware missbraucht, um nach einer initialen Infektion die Tore für weitere Angriffe zu öffnen. Es wird generell immer empfohlen, UPnP abzuschalten.

Leider werben bekannte Marken wie WD weiterhin für ihren Cloudschrott, und leider kommen die Router auch von unseren ISPs immer noch mit werksseitig aktivierter UPnP-Funktion. Es geht auch jahrelang gut, vielleicht jahrzehntelang. Eventuell hat man Glück und das Gerät stirbt bevor es die Daten seines Users an den Höchstbieter verkaufen kann.

Daher sehe ich keine Verbesserungsmöglichkeiten am Horizont, hier müsste die Politik Grenzen setzen und sagen, IoT-Klump darf nur mit großen Warnlabels verkauft werden, oder der Hersteller muss beim Verkauf schon angeben wie lange das Gerät verwendet werden darf bevor es unsicher wird, usw usf. Aber Internet ist schließlich Neuland, da wird sich nix ändern.
 

drd[cc]

Mitglied
Registriert
25.02.2005
Beiträge
667
Unterm Strich ist "dumm ist, wer dummes tut"...
Wenn ich veraltete Serverdienste mit bekannten CVEs via UPnP Richtung Internet exponiere, hab ich es nicht anders verdient.
Kein Backup - kein Mitleid.

Mit Verboten kommt man dem imho nicht bei.
Dazu ist IT zu schnelllebig und Politik (in einer Demokratie) zu träge.
 

OmarDLittle

Aktives Mitglied
Registriert
21.05.2017
Beiträge
2.677
Wenn ich veraltete Serverdienste mit bekannten CVEs via UPnP Richtung Internet exponiere, hab ich es nicht anders verdient.
Solches Mybook-Zeugs wirst halt am ehesten bei Leuten finden die sich nicht auskennen. Was Serverdienst, CVE und UPnP überhaupt bedeutet, wissen die nicht. Und Exploits gabs eben auch bei soliden Markengeräten von Synology und Co.

Es gab in den USA letztes Jahr Globuli-Hokuspokus, der verunreinigt war und die Gesundheit beeinträchtigt hat. Da kann man jetzt sagen, gut, dass das nutzlos ist weiß man, wenn man solchen Produkten vertraut und das einnimmt, muss man sich über Folgeerscheinungen nicht wundern. Was natürlich wirklich passiert ist, die Gesundheitsbehörde hat sich den Hersteller vorgenommen.

Und genau das erwarte ich mir hier auch, dass die Behörden sagen, wir schauen uns Hersteller und Ursache genau an und schauen, wie wir das in Zukunft verhindern können. Herstellersupport 3 Jahre lang, ok, dann muss ein Ablaufdatum drauf. Und wenn die Kunden dann sehen, dieses Produkt kostet weniger aber kann in wenigen Jahren entsorgt werden, obwohl die Hardware noch funktioniert, dann überlegen die sich den Kauf zweimal. Und wenn der Hersteller den Support früher einstellt, gibt es für den Folgen.

Wird schon bessere/andere Wege auch geben, aber nix zu tun und die Werbeabteilungen weiter fleißig ihren IoT-Schrott verkaufen zu lassen, ist schon fahrlässig.
 

efx

Mitglied
Registriert
21.01.2005
Beiträge
851
Open Source ist aussen vor also ein „heiße Luft“ Gesetz da fast alles was IOT und OS angeht zumindest großteils auf Open Source basiert. Bringt Otto normal User nichts denn der ist nicht in der Lage aktuelle Software selbst auf seine Hardware an zu passen oder neu zu kompilieren.
 

OmarDLittle

Aktives Mitglied
Registriert
21.05.2017
Beiträge
2.677
Es bringt auch nix, wenn das Zeug viele Jahre alt und lange EoL ist. Der User muss vor dem Kauf schon erfahren, welches Teufelszeug er sich ins Haus holt.
 

mausfang

Aktives Mitglied
Registriert
04.08.2016
Beiträge
2.221
Unterm Strich ist "dumm ist, wer dummes tut"...
Unterm Strich ist jeder dumm … jeder macht Fehler … und jeder muss aus diesen lernen.

Also warum so von oben herab?

Man müsste WD dazu verdonnern, richtigen Support zu leisten.
Weil die haben auch definitiv dummes getan. Man müsste das Wort Verantwortung mal so definieren, dass es nicht genügt, dass die aus den Schneider sind wenn sie sagen: „Nimm es vom Internet.“
 
Oben Unten