My Book Live: Böswillige Angreifer löschen massenweise Daten von WD-NAS
Bildquelle: Matic.Sandra

My Book Live: Angreifer löschen massenweise NAS-Systeme von WD

WD empfiehlt Kunden mit einem My Book Live, dieses sofort vom Internet zu trennen. Unbekannte haben bereits etliche Festplatten geleert.

Western Digital empfiehlt allen Kunden mit einem My Book Live oder My Book Live Duo NAS, dieses sofort vom Internet zu trennen. Über eine Sicherheitslücke haben Unbekannte schon etliche Festplatten des Netzwerkspeichers geleert, wie bereits einige Kunden in der WD Community berichteten.

Laut Western Digital nutzen Angreifer die RCE-Lücke CVE-2018-18472 aus, die es erlaubt, beliebigen Code aus der Ferne auszuführen. Dieses Problem ist seit 2018 bekannt, aber das My Book erhielt 2015 sein letztes Firmware Update.

Remote Code Execution beim My Book Live im Detail

Ursache für die Sicherheitslücke ist, wie immer ein Programmierfehler, im Detail eine fehlende Prüfung und der Bereinigung, der vom Nutzer eingegebenen Daten. Im folgenden, sehr bekannten Comic von xkcd, geht es zwar um SQL-Injection, die Idee dahinter ist aber die gleiche.

Die REST-API verwendet zur Änderung von Spracheinstellungen intern scheinbar einen Befehl in Richtung des Betriebssystem bzw. der Kommandozeile oder auch Shell. Da die Eingabe nicht auf gültige Werte geprüft wird, kann der Angreifer beliebige andere Befehle einschleusen. Auf Acunetix gibt es dazu noch eine Erläuterung und ein Codebeispiel, wie solche Lücken entstehen und wie man sie verhindern kann. Konkret lässt sich das Problem wie folgt auf der WD My Book Live ausnutzen:

My Book Live PoC

curl -kX GET -d ‘bim=param``’ https:///panel/rest/configuration

Beispiel

curl -kX GET -d ‘bim=param`whoami`’ https:///panel/rest/configuration

Western Digital hat seit Jahren keine Patches mehr bereitgestellt

Wie häufig bei älteren, netzwerkbasierten Geräten verlieren die Hersteller beim nächsten Produktzyklus das Interesse, die alten Geräte auf dem neusten Stand zu halten. Dies ist bei Western Digitals My Book Live scheinbar auch der Fall. Das Problem ist seit Jahren bekannt und die einzige Lösung: abschalten.

Vielen Nutzern sollte das zum Beispiel von Smartphones bekannt sein. In der Regel ist nach 2-3 Jahren Schluss mit den Patches. Google hat zwar das Bestreben, immer mehr Systemkomponenten über den Play Store zu aktualisieren, aber dies, trotz Project Treble, bisher nur mit mäßigem Erfolg.

Tarnkappe.info

Über

honeybee schreibt seit Ende 2020 für die Tarnkappe. Der Einstieg war ein Reverse Engineering Artikel über die Toniebox. Die Biene liebt es, Technik aller Art in ihre Bestandteile zu zerlegen. Schraubendreher und Lötkolben liegen immer in Reichweite. Themen wie Softwareentwicklung, Reverse Engineering, IT-Security und Hacking sind heiß geliebt.