WD My Book Live NAS-Inhalte werden plötzlich weltweit gelöscht

Sicherheit (Pexels, allgemeine Nutzung)[English]Jemand mit Western Digital My Book NAS-Geräten unter der Blog-Leserschaft? Es gibt eine beunruhigende Entwicklung, die Besitzer der Geräte im Auge behalten sollten. Momentan stellen Besitzer der My Book NAS-Einheiten weltweit fest, dass plötzlich Daten wie von Zauberhand komplett gelöscht werden. Die Ursache ist unbekannt. So ganz spontan fallen wir schlicht zwei Ursachen ein: Ein Software-Bug, der dafür verantwortlich ist. Oder eine Schwachstelle, die von jemandem ausgenutzt wird, um möglichst großen Schaden anzurichten.


Anzeige

Das Thema ist mir seit dieser Nacht gleich an zwei Stellen auf die Füße gefallen. Hier ein schnellere Überblick, was bisher bekannt ist.

Eine Meldung im WS-Forum

In der Community von Western Digital gibt es seit dem 24. Juni 2021 einen Eintrag, der das gesamte Desaster beschreibt. Hier der Auszug (falls der Beitrag mal gelöscht wird).

Help! All data in mybook live gone and owner password unknown

I have a WD mybook live connected to my home LAN and worked fine for years. I have just found that somehow all the data on it is gone today, while the directories seems there but empty. Previously the 2T volume was almost full but now it shows full capacity.

The even strange thing is when I try to log into the control UI for diagnosis I was-only able to get to this landing page with an input box for "owner password". I have tried the default password "admin" and also what I could set for it with no luck. There seems to be no change to retrieve or reset password on this landing page either.

Could anyone help to find what was going on to this drive? I am stuck at emptied data on it now…Thanks in dadvance!

Dem Besitzer eines WD My Book ist es passiert, dass plötzlich alle Dateien auf dem NAS gelöscht wurden. Aber was noch problematischer ist: Er kann sich nicht mehr an der Benutzeroberfläche zur Verwaltung der NAS-Einheit anmelden, da das Passwort für den Besitzer des Geräts nicht mehr akzeptiert wird. Er hat folgenden Screenshot gepostet:

WD My Book Live owner password
WD My Book Live owner password, Quelle: WD Community

In den Log-Dateien hat der Betroffene folgende Einträge gefunden, die einen Factory-Restore per Shell-Script belegen.

Jun 23 15:14:05 MyBookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 MyBookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 MyBookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 MyBookLive _: pkg: wd-nas
Jun 23 16:02:30 MyBookLive _: pkg: networking-general
Jun 23 16:02:30 MyBookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 MyBookLive _: pkg: date-time
Jun 23 16:02:31 MyBookLive _: pkg: alerts
Jun 23 16:02:31 MyBookLive logger: hostname=MyBookLive
Jun 23 16:02:32 MyBookLive _: pkg: admin-rest-api

Der Betroffene schreibt, dass zu diesem Zeitpunkt bei ihm niemand zuhause war. Im Thread bestätigen weitere Nutzer das Problem, dass da was wohl remote gelöscht wurde und dass ähnliche log-Einträge vorhanden sind. An dieser Stelle bröckelt meine Eingangs aufgestellte Annahme, dass ein Bug den Laufwerksinhalt löscht.

Es sieht so aus, als ob ein unbekannter Dritter da den Inhalt gelöscht und den Benutzerzugang gesperrt hat. Inzwischen gibt es weitere Hilferufe im Web (reddit.com, WD-Forum).

Was ist betroffen?

Es trifft wohl das WD My Book, ein Netzwerkspeichergerät (NAS), dessen Name sich wohl aus der Gehäuseform, die wie ein Buch ausschaut, herleitet (siehe obiges Bild). Wichtig ist, dass die Gerätebesitzer mittels der WD My Book Live-App remote auf ihre Dateien zugreifen und ihre Geräte aus der Ferne verwalten können, selbst wenn sich das NAS hinter einer Firewall oder einem Router befindet. Das eröffnet einen Angriffspunkt für Remote-Geschichten, die per Internet passieren. Denn für diese Funktion müssen Ports am Router bzw. an der Firewall geöffnet werden – jede Sicherheitslücke kann so ausgenutzt werden.


Anzeige

Mehr Artikel zum Thema

Die Nacht ist mir dann ein Artikel von Bleeping Computer sowie ein Beitrag von Arstechnica, die das Ganze aufgreifen. Letztendlich fassen die Beiträge das zusammen, was ich oben skizziert habe. Von Western Digital gibt es wohl eine E-Mail an Kunden, die Arstechnica und Bleeping Computer vorliegt – die sich aber auch im WD-Forum einsehen lässt. Hier der Text:

Western Digital has determined that some My Book Live devices are being compromised by malicious software. In some cases, this compromise has led to a factory reset that appears to erase all data on the device. The My Book Live device received its final firmware update in 2015. We understand that our customers' data is very important. At this time, we recommend you disconnect your My Book Live from the Internet to protect your data on the device. We are actively investigating and we will provide updates to this thread when they are available.

In kurz: Western Digital untersucht den Fall, dass Geräte über My Book Live möglicherweise kompromittiert wurden, wodurch in einigen Fällen ein Factory-Reset ausgeführt und Inhalte gelöscht wurden. Es wird ausgeführt, dass My Book Live-Geräte 2015 letztmalig Firmware-Updates erhalten haben. Der einzige Ratschlag des Herstellers: Die Geräte vom Internet zu trennen, um die gespeicherten Daten zu schützen. Aktuell untersucht WD den Fall und will, sobald weitere Erkenntnisse vorliegen, Details veröffentlichen.

Ergänzung: Es gibt diesen WD-Beitrag, der auf die Schwachstelle CVE-2018-18472 verweist. Könnte hin kommen, da es seit 2015 ja keine Updates mehr gab. Von Wizcase wurde ich noch informiert, dass man 2018 in diesem Artikel etwas zu den betreffenden Schwachstellen veröffentlicht habe. Das Problem war wohl, dass WD beim letzten Firmware-Update 2015 eine Authentifizierung vor dem Zurücksetzen des NAS ausgebaut hat.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Datenträger, Sicherheit abgelegt und mit NAS, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

28 Antworten zu WD My Book Live NAS-Inhalte werden plötzlich weltweit gelöscht

  1. Lukas sagt:

    Mitleid? Nein, sicher nicht!
    Die Leute lernen es aber auch nicht.
    Keine Ahnung wie viele Vorfälle dieser Art noch passieren müssen, dass endlich mal ein Umdenken stattfindet.

    • Mira Bellenbaum sagt:

      Sorry, ich verstehe nicht was Du meinst!
      Soll ich all meine wichtigen Daten einer Krake hinterherwerfen?
      Sorry, ich verstehe es wohl wirklich nicht.

      • Dat Bundesferkel sagt:

        Er geht davon aus, daß hier eine Cloud zum Einsatz kommt. Typischer Fall von: "Nur die Überschrift gelesen."

      • Klaus sagt:

        Die Betroffenen haben wohl ihr lokales NAS an die WD-Cloud angebunden. Kommt vom Sicherheitsgedanken her also im Prinzip auf das gleiche hinaus, als hätten sie ihre Daten direkt in der Cloud gespeichert. Ich vermute, darauf wollte Lukas hinaus.

        • Lukas sagt:

          Mir geht es nicht unbedingt um die Cloud, sondern dass jeder Hinz und Kunz meint er muss sich sowas daheim hinstellen und von überall aus darauf zugreifen zu müssen ohne sich den Konsequenzen bewusst zu sein.
          Das sind dann natürlich die, die am lautesten schreien, wenn was passiert. Vor ein paar Wochen war es noch QNAP und jetzt eben WD. Ein Stück weit sind da natürlich auch die Hersteller in der Pflicht ihre Produkte abzusichern und aktuell zu halten. Allgemein fehlt es aber meiner Meinung nach an technischem Verständnis und Aufklärung.

          • Sebastian sagt:

            Der Umstand, ein NAS zu betreiben und von überall darauf zuzugreifen, ist an sich kein Problem.
            Nur gehören solche Zugriffsmöglichkeiten aus dem Internet grundsätzlich hinter ein VPN.

            Dann ist es auch ein weniger großes Problem, wenn ein Hersteller nur zögerlich Updates für ein Gerät liefert.

            Es gibt leider den verbreiteten Anspruch unter Nutzern, "profimäßige" Strukturen aufzubauen ohne sich mit der Materie beschäftigen zu wollen. Alles soll nach drei Klicks laufen, VPN ist da schon zu kompliziert. Die Industrie reagiert darauf mit entsprechenden Angeboten, die dann aber eben gerne Sicherheits-Albträume sind, wie hier erneut bewiesen wird.

          • Olli sagt:

            >>> Nur gehören solche Zugriffsmöglichkeiten aus dem Internet grundsätzlich hinter ein VPN.

            Das wissen auch die bösen Jungs, weshalb sich in letzter Zeit so was:

            https://www.borncity.com/blog/2021/06/24/achtung-cyberangriffe-auf-zyxel-firewalls-mit-gerte-bernahme-details-unbekannt/

            häuft.

            Vor kurzem war es Fortinet jetzt Zyxel, das wird zunehmen. Wobei mein Eindruck ist, das es primär SSL-VPNs sind und keine IPSec-VPNs.

            Egal – wenn alles hinterm VPN steht, sind jetzt eben VPNs das Ziel…

          • Dat Bundesferkel sagt:

            Deine Meinung sei Dir unbenommen, allerdings machst Du es Dir ein wenig zu einfach und denkst zu kurz.

            Warum? Ganz einfach, nach Deiner Auffassung sollte jede Privatperson praktisch den Stecker ziehen und offline bleiben, denn anders kann man sich effektiv nicht vor Angriffen von außen schützen.

            Selbst große Unternehmen und Behörden, ja sogar Sicherheitsunternehmen selber mit fähigem Abwehrsystemen wurden selber schon Ziele von Angriffen. Es hilft also nichts, wenn man Betroffenen Schadenfreude gönnt.

            Der einzig gangbare Weg, wenn man sich nicht in die Steinzeit zurückentwickeln ist, derlei Angriffe aufzudecken, diese Angriffe effektiv abzuwehren (Aktualisierungen) und die Verursacher dieser Angriffe ausfindig und dingfest zu machen. Das funktioniert sogar häufig. Nicht immer, nicht schnell, aber es funktioniert.

            Und ich persönlich muß sagen, daß ein lokal betriebenes NAS, welches von außen erreichbar ist und unter Umständen zusätzlich ein Backup auf "die Cloud" anbietet besser ist, als die direkte Nutzung einer Cloud oder die reine Nutzung einer Wechselplatte (die durch falsche Lagerung evtl. einem Bitrot aufgrund mangelnder Magnetisierung unterliegt).

            Ja, es gibt bessere Lösungen. Nein, diese sind nicht wirklich Privatanwender-tauglich.

    • Zocker sagt:

      Du weißt schon was der Unterschied zwischen einem NAS und einer Cloud bei Anbieter X ist? Was ist denn die Alternative zum NAS? Und wenn du Probleme bei einem ans Internet angebundenen NAS siehst, siehst du diese dann nicht bei einem ans Internet angebundenen PC oder sonst einem Gerät?

  2. mw sagt:

    Tape Backup und dann 2 Kopien an unterschiedlichen Orten aufbewahren. Backup immer offline erstellen. Kein Backup, kein Mitleid

    • Niklas Z. sagt:

      Es handelt sich hierbei um Heimanwender "NAS" (bitte die "" mit genug Ironie betrachten"). Da wird man mit TAPE Backup etwas am Ziel vorbei schießen.

      Ich hatte mit einer WD My Book Live Edition auch schon meinen Spaß…. So vor ca. 8 Jahren. Hatte den internen Twonky Media Server fleißig befüllt. Bis dann die Database zu groß wurde für das Filesystem. WD hatte da so toll konfiguriert, dass mehr, wie 2GB große Files nicht gehen. Der Twonky lief dann mit seiner Database-File irgendwann in die Grenze und schawups – war das ganze System hin…

      Seit dem… Freenas / Truenas mit Jails. Da bin ich wenigstens selbst schuld, wenn es so richtig verbockt wurde.

    • Carsten C. sagt:

      "Kein Backup, kein Mitleid" – da stimme ich zu. Wer aber kauft sich ein 1000+€ Tape, um die Daten eines preisgünstigen Consumer-NAS zu sichern (und wo soll die Person das Tape anschließen)?

  3. viebrix sagt:

    Ich frage mich, ob es dann nicht auch den mycloud mirror passieren könnte. WD wird ja nicht für jedes Produkt individuelle Sicherheitsvorkehrungen haben.
    Die Frage ist bei diesem Produkt – wenn man im Produkt den Remotezugriff abgeschaltet hat, ob man dann geschützt ist?

  4. Dat Bundesferkel sagt:

    Ich frage mich, ob in den Geräten SMR-basierte Laufwerke verbaut sind, diese ohne Vorwarnung verstarben und die Software einen Werkreset versucht hat.

    Mir sind in letzter Zeit einige 6 TB WD Red (mit SMR, wie sich später herausstellte) ohne jedwede Vorwarnung verstorben. Von jetzt auf gleich. Kein Klackern vorab, ohne S.M.A.R.T.-Warnungen. Tatsächlich auch *nur* die SMR-Varianten.

    • Bolko sagt:

      Wenn die Festplatte tot wäre, dann gäbe es gar keinen Login-Screen mehr, denn das Programm, das diesen Screen anzeigt ist auf dieser Platte gespeichert.

      Ein automatischer Factory-Reset als Reparaturmaßnahme wäre auch eine grobe Fahrlässigkeit seitens Western Digital, das kann ich mir nicht vorstellen.

    • Sebastian sagt:

      Ein NAS, welches aufgrund von sterbenden HDDs automatisch einen Werksreset durchführt, ist wie ein autonomes Fahrzeug, das nach einem Reifenplatzer stark beschleunigt.

      Ich denke (hoffe) nicht, dass die Entwickler bei WD *so* doof sind.

  5. 1ST1 sagt:

    Geht es hier um Netzwerkfestplatten, oder um USB 3.0 Platten? Von letzteren habe ich zwei Stück, aber auf denen hat sich bisher nix getan.

    • Paul sagt:

      Das ist sicherlich "NAS" da USB-Festplatten rel. selten ans Internet gehangen werden.

      Wobei, WD hat ja einen "bekannten" Ruf.
      Da war mal was…irgendwas mit dem Idle-Parken-Timing IIRC

      • Dat Bundesferkel sagt:

        Dafür waren die Greens bekannt. Die mittlerweile auch als Blue verkauft werden. Sind übrigens zwei "Farben", um die ich bei WD einen großen Bogen mache – mit den Red hatte ich eigentlich nur gute Erfahrungen, bis auf die SMR-Krüppel. Aber gut… das hat sich von selbst erledigt, die sind mittlerweile alle defekt.

      • 1ST1 sagt:

        So ganz eindeutig ist das nicht, denn den USB-Dingern liegt auch Software bei, welche die Platten online bringt, zusammen mit einer Smartphone-App. Hab ich aber nicht installiert.

  6. Paul sagt:

    Uns wurde früher gesagt:
    3 -drei- auf UNTERSCHIEDLICHEM Weg, mit unterschiedlicher Software erstellte Backups.
    Also: z.B. Band, Platte, Verteilte Daten + entsorechner Software.
    und nur bei unwichtigen Daten zählt das Orignal als eine Kopie mit…

    Warum man diesen Aufwand treibt wird ja gerade klar.
    Warum geht solches Wissen verloren?

  7. Lukas sagt:

    @sebastian
    Genau so und nicht anders! :)

  8. Cornholio sagt:

    Kurzbeschreibung von Western Digital:

    https://www.westerndigital.com/support/productsecurity/wdc-21008-recommended-security-measures-wd-mybooklive-wd-mybookliveduo

    Genutzte Lücke von 2018 (publiziert Juni 2019):

    > Western Digital WD My Book Live and WD My Book Live Duo (all versions) have a root Remote Command Execution bug via shell metacharacters in the /api/1.0/rest/language_configuration language parameter. It can be triggered by anyone who knows the IP address of the affected device, as exploited in the wild in June 2021 for factory reset commands

    https://nvd.nist.gov/vuln/detail/CVE-2018-18472

    • Dat Bundesferkel sagt:

      Himmel, Du scheinst einen Volltreffer gelandet zu haben. Die Krönung ist dann ja wohl die Aussage von WD:

      "At this time, we recommend you disconnect your My Book Live and My Book Live Duo from the Internet to protect your data on the device."

      … denn die Geräte hätten zuletzt 2015 ein Firmwareupdate erhalten. Soll man daraus nun schlußfolgern, daß sie EOL sind und der Kunde sie (praktisch) wegwerfen (aber neukaufen!) darf?

Schreibe einen Kommentar zu Paul Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.