My Book Live: Böswillige Angreifer löschen massenweise Daten von WD-NAS
WD empfiehlt Kunden mit einem My Book Live, dieses sofort vom Internet zu trennen. Unbekannte haben bereits etliche Festplatten geleert.
Western Digital empfiehlt allen Kunden mit einem My Book Live oder My Book Live Duo NAS, dieses sofort vom Internet zu trennen. Über eine Sicherheitslücke haben Unbekannte schon etliche Festplatten des Netzwerkspeichers geleert, wie bereits einige Kunden in der WD Community berichteten.
Laut Western Digital nutzen Angreifer die RCE-Lücke CVE-2018-18472 aus, die es erlaubt, beliebigen Code aus der Ferne auszuführen. Dieses Problem ist seit 2018 bekannt, aber das My Book erhielt 2015 sein letztes Firmware Update.
Remote Code Execution beim My Book Live im Detail
Ursache für die Sicherheitslücke ist, wie immer ein Programmierfehler, im Detail eine fehlende Prüfung und der Bereinigung, der vom Nutzer eingegebenen Daten. Im folgenden, sehr bekannten Comic von xkcd, geht es zwar um SQL-Injection, die Idee dahinter ist aber die gleiche.
Die REST-API verwendet zur Änderung von Spracheinstellungen intern scheinbar einen Befehl in Richtung des Betriebssystem bzw. der Kommandozeile oder auch Shell. Da die Eingabe nicht auf gültige Werte geprüft wird, kann der Angreifer beliebige andere Befehle einschleusen. Auf Acunetix gibt es dazu noch eine Erläuterung und ein Codebeispiel, wie solche Lücken entstehen und wie man sie verhindern kann.
Western Digital hat seit Jahren keine Patches mehr bereitgestellt
Wie häufig bei älteren, netzwerkbasierten Geräten verlieren die Hersteller beim nächsten Produktzyklus das Interesse, die alten Geräte auf dem neusten Stand zu halten. Dies ist bei Western Digitals My Book Live scheinbar auch der Fall. Das Problem ist seit Jahren bekannt und die einzige Lösung: abschalten.
Vielen Nutzern sollte das zum Beispiel von Smartphones bekannt sein. In der Regel ist nach 2-3 Jahren Schluss mit den Patches. Google hat zwar das Bestreben, immer mehr Systemkomponenten über den Play Store zu aktualisieren, aber dies, trotz Project Treble, bisher nur mit mäßigem Erfolg. ...
Q. u. zur Weiterleitung von sunshine-island.eu nach -> tarnkappe
