Sicherheitslücke: Western Digital My Book Live vom Internet trennen

Das ist eher feststellend, als von oben herab gemeint.

Das Problem ist komplex.
Was meinst du z.B. mit "Man müsste WD dazu verdonnern, richtigen Support zu leisten."?
Was ist "richtiger Support"?

Muß WD lediglich Updates für Zeitraum xy anbieten?
Muß WD den User über Updates informieren?
Wenn ja, in welcher Sprache?
English oder die lokale Landessprache?
Wie gelangen die Updates auf das Gerät?
Push oder pull?
Wenn die Geräteseitig gezogen (pull) werden sollen, wie stellt man ein zeitnahes Update sicher?
Macht das Gerät ein Update zu einem fixen Zeitpunkt xy, während andere damit arbeiten und startet zwischendurch einfach neu?
Beim pushen von Updates brauchst du eine zentrale Instanz die dies täte.
Da stellen sich dann die gleichen Fragen wie bei pullen, plus das man einen weiteren Angriffsvektor öffnet (den Controlserver).

Wie lange soll WD den Updates anbieten müssen?
Wie zeitnah müssen diese Updates verfügbar sein?
Macht man das vom Preis des Geräts abhängig?
Oder kauft man die Updates als "Service" dazu?
Sollte ein Gerät, daß aus dem Support fällt aus Sicherheitsgründen seinen Dienst komplett einstellen?

Imho kommt man bei dem Thema um Eigenverantwortung nicht herum.
Alles andere ist eine noch schlechtere Lösung.
Ein mit dem Internet verbundenes Gerät zu nutzen, daß nicht auf aktuellen Patchlevel ist, ist immer ein Restrisiko.
Dem muß man sich einfach schon bei der Anschaffung bewußt sein, sonst kauft man sich mit jeder vermeintlichen Lösung fünf neue Probleme.

Im Prinzip hat jede Hardware, die mit proprietärer Software daher kommt ein eingebautes Verfallsdatum.
Man ist von dem Wohlwollen des Herstellers abhängig.
Bei hochintegrierten Systemen kauft man im Prinzip ein Nutzungsrecht für einen Zeitraum xy.
Ohne Zugang zu freier Software, Schaltplänen und Ersatzteilen ist das erworbene Produkt nicht deins.
Das macht sich leider kaum jemand bewußt.
:(
 
  • Gefällt mir
Reaktionen: mausfang
Tatsache ist doch, dass "wir" eine immer intelligentere Technik (aka, hochkomplexer) nutzen deren tiefergehendes Verständnis manchmal sogar den beteiligten Ingenieuren abgeht ( selbstfahrende Autos…). Es ist dem Endnutzer teilweise auch nicht zuzumuten das volle Gefährdungspotenzial eines technischen Gerätes zu erkennen (egal ob explodierende Akkus, hackbare IT-Systeme, oder Schäden durch eine versehentliche Fehlbedienung), wir müssen damit leben! Damit leben heißt: Wir fahren auch mit dem Auto, steigen in ein Flugzeug, wohl wissend, dass es uns das Leben kosten kann, OHNE das wir immer allzu großen Einfluss darauf haben…

Grundsätzlich halte ich eine gewisse "Grundvernunft" (ich trage mein Bargeld nicht in einer durchsichtigen Plastiktüte mit mir herum…) für zumutbar, wenn es aber in die Tiefen eines System geht (z.B. Sicherheitslücke durch einen Programmierfehler) fällt dies nicht unter Basiswissen, manche Fehler entdecken selbst beteiligte Programmierer trotz wiederholter Fehlersuche nicht! Eine gewisse Herstellerhaftung - je nach Schweregrad des Fehlers und dessen Gefährungspotenzial - ist notwendig um deren Anstrengungen zur Vermeidung der Selben zu "maximieren"
 
  • Gefällt mir
Reaktionen: mausfang
"Man müsste WD dazu verdonnern, richtigen Support zu leisten."?
Da habe ich mehrere (ehrlich gesagt noch nicht zu Ende gedachte) Gedanken dazu.

Z.B. fände ich es angemessen, wenn WD in diesem Fall detailliertere Aussagen dazu machen müsste, was "vom Internet trennen" GENAU VOR DEM KONTEXT DER BEKANNTEN SICHERHEITSLÜCKE bedeutet.

Im WD Community Thread erarbeiten sich die Nutzer die Lösung selbst ... das halte ich nicht für "richtigen Support".

Dass WD damit durchkommt, dass das "am wenigsten dümmste aus WD-Sicht ist" so wenig Information wie möglich rauszugeben halte ich für sträflich. Es müsste genau anders herum sein. WD müsste das den Usern leisten.
Nämlich weil sie in der Vergangenheit nichts wirklich konstruktives dazu beigetragen haben ob und wie die Geräte weiter nutzbar bleiben.

"Richtiger Support" könnte sein, dass WD 2015 hätte Farbe bekennen müssen, dass man aus deren Sicht die Geräte nicht mehr weiter benutzen kann. Mit allen Konsequenzen "wie angepissten Käufern der Geräte".

Wenn man sich das Ausmaß der Datenverluste im Consumer-Bereich anschaut, dann kommt WD einfach zu glimpflich davon.
Fire-and-Forget-Hardware auf den Markt werfen ... und später sagen, sorry ... ist EOL ... hättet ihr nicht mehr nutzen sollen.

Richtiger Support könnte sein, Hinweise zu geben, wie ein Netzwerk konfiguriert sein muss, ohne Sicherheitslücke mit den betroffenen Geräten.

Ich weiß, das wird jetzt alles als unrealistisch niedergeschmettert werden ... aber WD hat gut Geld verdient und lässt die Leute dann mit den Scherben alleine, weil sie rechtlich unangreifbar sind.
 
Ein (begrenzte) Haftung für Software wäre zwar irgendwie wünschenswert, aber ist vermutlich sehr schwer zu implementieren, ohne gleichzeitig die Softwareentwicklung massiv einzubremsen und/oder zu verteuern.
Software ist kein statisches/fertiges Produkt, sondern unterliegt ständiger (Weiter-?)entwicklung und Anpassung an sich verändernde Rahmenbedingungen.

Eine bessere Kommunikation des Problems seitens WD wäre sicher wünschenswert, aber wie stellt man sicher, daß diese auch die betroffenen Kunden erreicht?
Registrierungpflicht für Produkte?
Soll der Hersteller ggf. sogar unsichere Produkte remote "deaktivieren" dürfen, um den User ggf. vor sich selbst zu schützen?
Sollten IT-Produkte ein eingebautes Ablaufdatum haben und sich am Ende des Supports automatisch "abschalten"?
Sollte man Hersteller verpflichten CVEs zu veröffentlichen?
Wie lang hat ein Hersteller Zeit bekannte CVEs zu patchen?
Gilt ein Produkt gepatched, wenn der Hersteller die Software veröffentlicht, oder wenn die Software auf dem gerät installiert wurde?
Was passiert, wenn ein überhasteter Patch Folgeschäden anrichtet (MS hatte iirc im März mit ihrem Win-Update reihenweise Kyocera-Drucker temp. außer Funktion gesetzt)?
Was ist mit absichtlich eingebauten bzw. offen gelassenen Backdoors (Stichwort Staatstrojaner/Geheimdienste)?

Ich kann mir beim besten willen nicht vorstellen, wie man das im Detail regeln will, ohne dabei zig neue Probleme zu schaffen.
:(
 
Wie gelangen die Updates auf das Gerät?
Das ist nun wirklich nicht das Problem. Dein NAS, dein Router, dein Computer, die allermeisten Geräte prüfen automatisch ob es Updates gibt und geben dir eine Notification wegen dem Reboot. Microsoft hat das bei Windows gut gelöst, dort lassen sich Zeiten definieren, in denen kein Reboot stattfinden darf, und ansonsten wird nach einigen Tagen zwangs-rebootet.

Eine bessere Kommunikation des Problems seitens WD wäre sicher wünschenswert, aber wie stellt man sicher, daß diese auch die betroffenen Kunden erreicht?
Einerseits gibt es Companion-Programme, die dir einen Gerätestatus anzeigen, dadurch auch Wartungsmeldungen bringen können und von Laien oft installiert werden, da es die Einrichtung des NAS vereinfacht (anstelle von IP-Adressen-Murks findet die App das Gerät im Netzwerk automatisch).

Andererseits sollten die Hersteller nicht ohne Einschränkungen Werbeslogans auf ihre Produktverpackungen schreiben dürfen. Habe mir gerade einen neuen Radhelm gekauft, steht ganz groß drauf, nach einem Sturz darf der nicht mehr verwendet werden und nach 5 Jahren muss er auch entsorgt werden, weil das Material aushärtet.

Da weiß ich also direkt beim Auspacken, dass das Produkt bis 2026 seine Wirkung verliert. Ob ich dann 2026 tatsächlich dran denke es zu tauschen, ist eine andere Frage - ganz genau kommts auch nicht drauf an, ich weiß nun zumindest, alle paar Jahre muss der Helm ersetzt werden.

Beim IoT sollte genau so ein Bewusstsein geschaffen werden - dass die Geräte ein Verfallsdatum haben. Dann überlegen sich Kunden auch doppelt, ob sie nun 100 Euro für das Gerät mit 5 Jahren Updatesupport ausgeben oder doch mehr für das Gerät mit 10 Jahren Updatesupport. Dann haben sich die besonders mistigen Geräte wie das WD-Zeugs auch direkt von selbst erledigt, weil sich die Dinger nicht mehr gut verkaufen lassen.
 
  • Gefällt mir
Reaktionen: efx, mausfang und dg2rbf
Das ist nun wirklich nicht das Problem.
Jein...
Vodafone pushed seine Fritzboxupdates für Mietgeräte mal gerne Vormittags raus... auch an Businessanschlüssen.
Großartig, wenn da die Firma mal 30min komplett down ist.

Unter Windows kann ich zwar Zeiten definieren, in denen keine Updates stattfinden sollen, allerdings nervt Windows den User dann trotzdem mit einem Popup. Auch laufen die Updates nicht, wenn außerhalb des Nutzungszeitraums ein User angemeldet ist.
Will ich das Verhalten ändern, brauche ich entweder ein AD (zum zentralen Verteilen von Policies) mit WSUS, oder muß lokal in der Registry rumspielen.

Auf Systemen, wo ich Treiber und/oder Apps am Paketmanager vorbei installieren kann, kommen dann noch diese Updates als Problem hinzu.
Was nützt mir z.B. ein aktuelles Windows-/MacOS, wenn der darauf laufende VPN-Server vom Drittanbieter ungepatched bleibt?

Das Problem ist leider komplex.
:(

Beim IoT sollte genau so ein Bewusstsein geschaffen werden - dass die Geräte ein Verfallsdatum haben.

100% Ack!
 
Jein...
Vodafone pushed seine Fritzboxupdates für Mietgeräte mal gerne Vormittags raus... auch an Businessanschlüssen.
Großartig, wenn da die Firma mal 30min komplett down ist.
Das ist aber ein Vodafone-spezifisches Problem. Genausogut kann man die Updates am Wochenende fahren. Und da muss halt wirklich unterbrochen werden, man kann es schon auf der Webseite ankündigen, damit die IT beim Firmenanschluss darauf achten kann. Aber schlussendlich musst irgendwann zwangsrebooten, die wenigsten Endkunden interessieren sich für regelmäßige Reboots ihres Routers zu sorgen.

Unter Windows kann ich zwar Zeiten definieren, in denen keine Updates stattfinden sollen, allerdings nervt Windows den User dann trotzdem mit einem Popup. Auch laufen die Updates nicht, wenn außerhalb des Nutzungszeitraums ein User angemeldet ist.
Das kann ich bei mir nicht nachvollziehen, auf einem Privatrechner habe ich dort alles unter der Woche ausgeschlossen und das Ding rebootet mir jedes zweite Wochenende in der Nacht auf Samstag trotz angemeldetem Account am Sperrbildschirm die Kiste durch. Hab da nichts in der Registry verändert, das ist bei mir das Default-Verhalten. Popups erhalte ich unter der Woche auch keine, ich sehe nur neben der Uhr das Symbol mit dem roten Punkt, dass ein Reboot ausständig ist. (Aber die Popups hab ich vielleicht auch wegkonfiguriert, keine Ahnung.)

Jedenfalls macht Windows 10 das vorbildlich. Diese Berichte von Usern, deren mitten in der Arbeit der Rechner rebootet wird, konnte ich noch nie nachvollziehen.

Was nützt mir z.B. ein aktuelles Windows-/MacOS, wenn der darauf laufende VPN-Server vom Drittanbieter ungepatched bleibt?
Naja, die meisten User sollten keine Serverdienste selbst installieren und betreiben, das kann nicht gutgehen. Das ist grundsätzlich sicher ein Problem, aber passt nicht hier zu diesem Thema. Serversoftware die nicht gepatcht wird sollte auch nicht eingesetzt werden.

Das hatten wir erst vor einigen Wochen hier im Forum, ein User betrieb gewerblich einen FTP-Server mit unsicheren Einstellungen und veralteter FTP-Serversoftware. Der wurde dann auch prompt gehackt, hat das aber ignoriert und war dann beleidigt, wie wir ihn darauf hingewiesen haben, dass er das wohl gemäß DSGVO usw. seinen Kunden melden sollte. Passwort geändert und weitergemacht. Ich hab das dann nicht mehr weiterverfolgt, kam eh schon aus dem Speiben nicht mehr raus.
 
Ich mag auch nicht ausschließen, daß ich die Win10-Popups nicht wegkonfiguriert hab.
Reboots im definierten Nutzungszeitraum hatte ich aber definitiv auch nicht.
:)

Bei den Serverdiensten schließt sich der Kreis wieder zu NAS-Servern.
Die letzten Ramsomwareattacken auf QNAP-Systeme waren auch gegen ungepatchte Serverdienste gerichtet, die sich per UPnP nach außen exponiert haben.
--> https://www.qnap.com/en/security-news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas
--> https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-security

Das Problem ist, daß viele Hersteller (dazu zähle auch WD) Serverdienste explizit als Funktion bewerben, ohne aber über die damit einhergehenden Risiken aufzuklären.

Mit einer der letzten Firmwares kam dann bei Qnap auch die Option Apps und OS automatisch upzudaten.

Leider ist die Zeitplanung dafür nicht sonderlich praktikabel (Für Apps gibt es keine, nur die Wahl zwischen automatisch und manuell).
Da kann dann auch mal eine komplette vStation mit laufenden VMs spontan neu gestartet werden.

Für OS-Updates kann man nur Täglich/Wöchentlich/Monatlich sowie die Uhrzeit festlegen.
Doof, wenn man unter der Woche Nachts per VPN remote Backups laufen hat... eine einfache crontab wäre praktikabler.
:whistle:
Immerhin gibt es die Option sich per Mail über ausstehende Updates informieren zu lassen.
 
Das Problem ist ja auch, wenn man seinen Router regelmäßig neu startet wird man (bei dsl) gedrosselt.

ASSIA bzw. DLM sind die Zauberworte.
 
Beim IoT sollte genau so ein Bewusstsein geschaffen werden - dass die Geräte ein Verfallsdatum haben.
Bei dem vorliegenden Fall dürfte auch ein großes Problem sein, dass vielen Anwendern gar nicht klar war, dass sie in ihrer Konfiguration da ein IoT-Gerät haben. Dass es nicht besonders clever ist, ein veraltetes Gerät ohne Sicherheitsupdates direkt ins Netz zu hängen dürfte durchaus vielen bewusst sein.
Dass ein eigentlich nur lokal genutztes NAS sich (selbst bei deaktiviertem Remote-Zugriff!) per Upnp selbsttätig alle Einfallstore öffnet ist dagegen eine andere Hausnummer, damit hätte ich auch nicht gerechnet. Ich hab in meinen Routern allerdings auch immer Upnp deaktiviert.

Das kann ich bei mir nicht nachvollziehen, auf einem Privatrechner habe ich dort alles unter der Woche ausgeschlossen und das Ding rebootet mir jedes zweite Wochenende in der Nacht auf Samstag trotz angemeldetem Account am Sperrbildschirm die Kiste durch. Hab da nichts in der Registry verändert, das ist bei mir das Default-Verhalten. Popups erhalte ich unter der Woche auch keine, ich sehe nur neben der Uhr das Symbol mit dem roten Punkt, dass ein Reboot ausständig ist. (Aber die Popups hab ich vielleicht auch wegkonfiguriert, keine Ahnung.)

Jedenfalls macht Windows 10 das vorbildlich. Diese Berichte von Usern, deren mitten in der Arbeit der Rechner rebootet wird, konnte ich noch nie nachvollziehen.
Tja, das Verhalten von Windows ist Fluch und Segen. Bei mir an der Arbeit sorgt es regelmäßig für große Freude, wenn Windows meint, den Messdatenaufzeichnungsrechner in einem 24/7-Dauerlauf mittendrin mal rebooten zu müssen.
Leider lässt Windows sich nicht klarmachen, dass es solche Anwendungsfälle gibt. Zwischendurch gibt es immer wieder Tage oder gar Wochen mit Leerlauf in denen Auto-Updates laufen könnten.
 
Leider lässt Windows sich nicht klarmachen, dass es solche Anwendungsfälle gibt. Zwischendurch gibt es immer wieder Tage oder gar Wochen mit Leerlauf in denen Auto-Updates laufen könnten.
Sicherlich ist das möglich, solange zumindest kein Windows Home läuft. Im Gruppenrichtlinieneditor lässt sich die Updatesuche von automatisch auf manuell umstellen. Danach ein finaler Reboot und das Ding wird nie wieder von selbst Updates suchen. Sofern das Ding in einer Domäne hängt, lässt sich das Verhalten sowieso zentral steuern, da ist dann der Fehler auch bei der IT zu suchen, nicht bei Windows.

Ich bin kein Fan von den Windowsupdates, wirklich nicht, bei einem Kollegen hats erst die ganze Installation zerschossen, Bluescreen und sogar der Safemode kaputt, sodass neu installiert werden musste. Aber die Einstellmöglichkeiten für die Rebootzeit sind wirklich kein Problem.

Dass ein eigentlich nur lokal genutztes NAS sich (selbst bei deaktiviertem Remote-Zugriff!) per Upnp selbsttätig alle Einfallstore öffnet ist dagegen eine andere Hausnummer, damit hätte ich auch nicht gerechnet. Ich hab in meinen Routern allerdings auch immer Upnp deaktiviert.
Stimmt. Und auf sowas sollten die Hersteller explizit hinweisen müssen, dann werden sie es auch bald sein lassen, weil unnötig Ports zu öffnen grob fahrlässig ist. So nach dem Motto: Vorsicht, dieses Gerät wird in einem unsicheren Zustand ausgeliefert, der Datendiebstahl und -Verlust zur Folge haben kann.

Sonst finden wir im Leben auch immer wieder Warnhinweise wo man sich denkt, wie blöd muss man sein, ich geb schon kein Metall in die Mikrowelle. Aber das haben auch erst viele Leute so machen müssen, dann gabs die Warnungen und heutzutage haben die Mikrowellen auch Sicherheitsfeatures, um nicht direkt in Flammen aufzugehen, wenn es ein Idiot dennoch übersieht.

Der einzige Grund warum die Hersteller ihre Geräte so an Endkunden ausgeben dürfen, ist die Ignoranz und Unfähigkeit der Politik.
 
  • Gefällt mir
Reaktionen: dg2rbf
Sicherlich ist das möglich, solange zumindest kein Windows Home läuft. Im Gruppenrichtlinieneditor lässt sich die Updatesuche von automatisch auf manuell umstellen. Danach ein finaler Reboot und das Ding wird nie wieder von selbst Updates suchen. Sofern das Ding in einer Domäne hängt, lässt sich das Verhalten sowieso zentral steuern, da ist dann der Fehler auch bei der IT zu suchen, nicht bei Windows.

Ich bin kein Fan von den Windowsupdates, wirklich nicht, bei einem Kollegen hats erst die ganze Installation zerschossen, Bluescreen und sogar der Safemode kaputt, sodass neu installiert werden musste. Aber die Einstellmöglichkeiten für die Rebootzeit sind wirklich kein Problem.
Klar kann man die automatischen Updates ganz deaktivieren, die Erfahrung zeigt aber, dass dann nie wieder ein Update passieren wird. :hum:

Wäre halt einfach schön, wenn man einstellen könnte, dass der automatische Neustart wirklich nur passiert wenn der Rechner im Idle ist, und andernfalls nur eindringlich gewarnt wird.
 
  • Gefällt mir
Reaktionen: dg2rbf
Klar kann man die automatischen Updates ganz deaktivieren, die Erfahrung zeigt aber, dass dann nie wieder ein Update passieren wird. :hum:
Kannst dir auch ein Skript dafür schreiben bzw. wird es auch über die in Windows integrierte Schedulingfunktion möglich sein...
 
Ich hab wegen den Neustarts noch mal genauer nachgelesen.
Es gibt eine Richtlinie, mit der man automatische Neustarts ausssetzen kann, solange ein User angemeldet ist.
Diese findet sich unter:

HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoRebootWithLoggedOnUsers
REG_DWORD0: Deaktiviert die Einstellung, dass das Gerät nicht neu gestartet wird, wenn Benutzer angemeldet sind.
1: Nach der Updateinstallation nicht neu starten, wenn ein Benutzer angemeldet ist
--> https://docs.microsoft.com/de-de/windows/deployment/update/waas-restart

Wenn @Fl0r!an das auf dem System setzt, den Messvorgang startet und den Rechner nur sperrt, sollte das einen Neustart verhindern.
:)
 
  • Gefällt mir
Reaktionen: mausfang und Fl0r!an
Oh, wird noch interessanter die Geschichte: https://censys.io/blog/cve-2018-18472-western-digital-my-book-live-mass-exploitation/

However, this would not explain why there were reports of users claiming their partitions were wiped, and the logs about factoryRestore.sh running on user devices. Censys disassembled the last available firmware from Western Digital for My Book Live to view the filesystem of these devices. There appears to be an unauthenticated zero-day vulnerability with an endpoint aptly named system_factory_restore. This PHP REST endpoint has authentication code commented out (disabled) at the top (yes, this is in the latest shipping firmware, which was from 2015 as these devices are no longer supported by Western Digital). A simple POST request to the system_factory_restore endpoint would trigger the factory restore process, with the line containing sysRestoreObj->restore($changes) eventually triggering the factoryRestore.sh script that was referenced in the Western Digital forums:

Code:
function post($urlPath, $queryParams=null, $ouputFormat='xml'){
    //        if(!authenticateAsOwner($queryParams))
    //        {
    //            header("HTTP/1.0 401 Unauthorized");
    //            return;
    //        }
[..]

WTF

Edit: Hier gibts noch was von arstechnica dazu: https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/
 
  • Wow
Reaktionen: mausfang
The most likely answer is that the mass wipe and reset was performed by a different attacker, very possibly a rival who either attempted to take control of the rival’s botnet or simply wanted to sabotage it.
 
https://krebsonsecurity.com/2021/07/another-0-day-looms-for-many-western-digital-users/

Noch n remote code execution flaw in alles mit WD myCould OS <= 3.

At issue is a remote code execution flaw residing in all Western Digital network attached storage (NAS) devices running MyCloud OS 3, an operating system the company only recently stopped supporting.
[..]
Western Digital ignored questions about whether the flaw found by Domanski and Ribeiro was ever addressed in OS 3. A statement published on its support site March 12, 2021 says the company will no longer provide further security updates to the MyCloud OS 3 firmware.
[..]
If attackers get around to exploiting this OS 3 bug, Western Digital might soon be paying for data recovery services and trade-ins for a whole lot more customers.

Vielleicht sollte man solche Produkte (von denen) auch nicht (mehr) kaufen.
 
  • Gefällt mir
Reaktionen: mausfang
Ja, das ist für mich eines von dem was ich persönlich davon ableite.

Und, dass es kritisch ist, als Laien-IT Speicher-/NAS-Geräte dem Internet auszusetzen.
 
  • Gefällt mir
Reaktionen: dg2rbf
Zurück
Oben Unten