Western Digital My Book Live wurde letzte Woche von einem Angriff getroffen, der dazu führte, dass unzählige Laufwerke auf die Werkseinstellungen zurückgesetzt wurden, was zu Petabyte an verlorenen Daten führte. Ursprünglich wurde berichtet, dass der Hauptangriff eine Sicherheitslücke aus dem Jahr 2018 ausnutzte, und obwohl dies immer noch einer der Angriffsvektoren ist, war noch ein weiterer im Spiel. Und es waren nur fünf Codezeilen.

Eine Untersuchung von Ars Technica ergab, dass zumindest in einigen der betroffenen Laufwerke ein zweiter Exploit am Werk war. Dieser zweite Exploit ermöglichte es Angreifern, die Laufwerke aus der Ferne ohne Passwort auf die Werkseinstellungen zurückzusetzen. Seltsamerweise ergab die Untersuchung, dass fünf Codezeilen den Reset-Befehl mit einem Passwort geschützt hätten, aber sie wurden aus dem laufenden Code entfernt.

Noch seltsamer war, dass diese Sicherheitsanfälligkeit für den Datenverlust nicht entscheidend war. Der ursprüngliche Exploit (CVE-2018-18472) ermöglichte es Angreifern, Root-Zugriff auf Laufwerke zu erlangen und die Daten von ihnen zu stehlen, bevor sie das Laufwerk löschten. Diese Schwachstelle wurde 2018 entdeckt, aber Western Digital hat den Support für My Book Live 2015 eingestellt. Die Sicherheitslücke wurde nie behoben.

„Wir haben Protokolldateien, die wir von betroffenen Kunden erhalten haben, überprüft, um den Angriff zu verstehen und zu charakterisieren“, schrieb Western Digital in einer Erklärung. „Unsere Untersuchung zeigt, dass in einigen Fällen derselbe Angreifer beide Schwachstellen auf dem Gerät ausnutzt, wie die Quell-IP zeigt. Die erste Schwachstelle wurde ausgenutzt, um eine bösartige Binärdatei auf dem Gerät zu installieren, und die zweite Schwachstelle wurde später ausgenutzt, um das Gerät zurückzusetzen.“

Diese beiden Exploits erreichten dasselbe Ziel, jedoch mit unterschiedlichen Mitteln, was zu einer Untersuchung der Sicherheitsfirma Censys führte, die spekuliert, dass sie das Werk zweier verschiedener Hackergruppen waren. Die Untersuchung besagt, dass es möglich ist, dass eine ursprüngliche Gruppe von Angreifern die Root-Zugriffsschwachstellen ausgenutzt hat, um die Laufwerke in ein Botnet einzuschleifen (ein Netzwerk von Computern, aus dem Hacker Ressourcen beziehen können). Eine mögliche zweite Gruppe von Angreifern kam jedoch herein und nutzte die Sicherheitsanfälligkeit zum Zurücksetzen des Kennworts aus, um die ursprünglichen Angreifer auszusperren.

Die beiden Exploits gelten für My Book Live- und My Book Live Duo-Speichergeräte. Diese Laufwerke bieten Benutzern einige Terabyte an Network Attached Storage, weshalb diese Angriffe überhaupt möglich waren. Western Digital sagt, dass jeder mit einem My Book Live oder My Book Live Duo das Laufwerk sofort vom Internet trennen sollte, auch wenn es nicht angegriffen wurde.

Western Digital, ein Hersteller von Computerfestplatten und Datenspeicherunternehmen, bietet betroffenen Kunden Datenwiederherstellungsdienste an, die im Juli beginnen werden. Ein Sprecher von Western Digital teilte Ars Technica mit, dass die Dienste kostenlos sein werden. Es bietet Kunden auch ein Trade-In-Programm zum Upgrade auf ein neueres My Cloud-Gerät an, obwohl Western Digital nicht gesagt hat, wann das Programm startet.

Empfehlungen der Redaktion