WD empfiehlt Kunden mit einem My Book Live, dieses sofort vom Internet zu trennen. Unbekannte haben bereits etliche Festplatten geleert.
Western Digital empfiehlt allen Kunden mit einem My Book Live oder My Book Live Duo NAS, dieses sofort vom Internet zu trennen. Über eine Sicherheitslücke haben Unbekannte schon etliche Festplatten des Netzwerkspeichers geleert, wie bereits einige Kunden in der WD Community berichteten.
Laut Western Digital nutzen Angreifer die RCE-Lücke CVE-2018-18472 aus, die es erlaubt, beliebigen Code aus der Ferne auszuführen. Dieses Problem ist seit 2018 bekannt, aber das My Book erhielt 2015 sein letztes Firmware Update.
Remote Code Execution beim My Book Live im Detail
Ursache für die Sicherheitslücke ist, wie immer ein Programmierfehler, im Detail eine fehlende Prüfung und der Bereinigung, der vom Nutzer eingegebenen Daten. Im folgenden, sehr bekannten Comic von xkcd, geht es zwar um SQL-Injection, die Idee dahinter ist aber die gleiche.
My Book Live PoC
curl -kX GET -d ‘bim=param`
`’ https:// /panel/rest/configuration
Beispiel
curl -kX GET -d ‘bim=param`whoami`’ https:///panel/rest/configuration
Western Digital hat seit Jahren keine Patches mehr bereitgestellt
Wie häufig bei älteren, netzwerkbasierten Geräten verlieren die Hersteller beim nächsten Produktzyklus das Interesse, die alten Geräte auf dem neusten Stand zu halten. Dies ist bei Western Digitals My Book Live scheinbar auch der Fall. Das Problem ist seit Jahren bekannt und die einzige Lösung: abschalten.
Vielen Nutzern sollte das zum Beispiel von Smartphones bekannt sein. In der Regel ist nach 2-3 Jahren Schluss mit den Patches. Google hat zwar das Bestreben, immer mehr Systemkomponenten über den Play Store zu aktualisieren, aber dies, trotz Project Treble, bisher nur mit mäßigem Erfolg.
Tarnkappe.info