< p>Sie werden das nicht glauben. Western Digital bestätigt nun, dass es den Authentifizierungscode deaktiviert hat, der den Exploit zum Zurücksetzen auf die Werkseinstellungen von My Book Live hätte verhindern sollen. Schlimmer noch, dieser Code wurde 2011 deaktiviert, um ihn durch etwas Besseres zu ersetzen. Western Digital hat einfach vergessen, den neuen Code einzufügen.
Lassen Sie uns ein wenig zurückverfolgen. Letzte Woche stellten My Book Live-Benutzer fest, dass ihre mit dem Internet verbundenen Speicherlaufwerke alle ihre Daten verloren hatten. Ein aus der Ferne ausgelöster Werksreset verursachte diesen Datenverlust.
Analysen von Sicherheitsexperten haben seitdem gezeigt, dass Hacker gleichzeitig zwei verschiedene My Book Live-Schwachstellen ausnutzen; ein Exploit (genannt CVE-2018-18472) ließ die Laufwerke für die vollständige Fernsteuerung offen und wurde verwendet, um ein Botnet aufzubauen, während ein anderer Exploit es Hackern ermöglichte, Remote-Resets auf die Werkseinstellungen durchzuführen, ohne dass Anmeldeinformationen erforderlich waren.
Diese Sicherheitsexperten stellten fest, dass Western Digital den Authentifizierungscode zum Zurücksetzen auf die Werkseinstellungen absichtlich deaktiviert hatte, was Hacker gezwungen hätte, Anmeldeinformationen für jedes My Book Live-Gerät einzugeben, das sie formatieren wollten. Ein neuer Support-Beitrag von Western Digital bestätigt, dass dieser Code im Jahr 2011 im Rahmen eines Refactoring deaktiviert wurde – im Grunde ein umfassendes Upgrade des zugrunde liegenden Codes. Während diese Überarbeitung in anderen Teilen des My Book Live-Systems korrekt durchgeführt wurde, konnte der Authentifizierungscode zum Zurücksetzen auf die Werkseinstellungen nicht ersetzt werden.
Wir haben festgestellt, dass die Sicherheitsanfälligkeit durch nicht authentifiziertes Zurücksetzen auf die Werkseinstellungen im April 2011 im My Book Live als Teil einer Überarbeitung der Authentifizierungslogik in der Gerätefirmware eingeführt wurde. Der Refactor zentralisierte die Authentifizierungslogik in einer einzigen Datei, die auf dem Gerät als include/component_config.php vorhanden ist und den von jedem Endpunkt benötigten Authentifizierungstyp enthält. Bei diesem Refactor wurde die Authentifizierungslogik in system_factory_restore.php korrekt deaktiviert, aber der entsprechende Authentifizierungstyp von ADMIN_AUTH_LAN_ALL wurde nicht zu component_config.php hinzugefügt, was zu der Schwachstelle führte. Der gleiche Refactor hat die Authentifizierungslogik aus anderen Dateien entfernt und den entsprechenden Authentifizierungstyp korrekt zur Datei component_config.php hinzugefügt.
Western Digital klärt weiter einige Details dieses Angriffs. Während Sicherheitsanalysten vermuten, dass ein Hacker die Schwachstelle zum Zurücksetzen auf die Werkseinstellungen ausgenutzt hat, um das wachsende My Book Live-Botnet zu sabotieren (das durch den separaten CVE-2018-18472 “Fernsteuerung”-Exploit ermöglicht wurde), sagt Western Digital, dass beide Angriffe wurden oft von einer einzigen IP-Adresse ausgeführt. Dies deutet darauf hin, dass ein Hacker aus irgendeinem Grund beide Schwachstellen ausgenutzt hat.
Während dieses ganzen Durcheinanders haben viele Leute My Book Live-Benutzer dafür verantwortlich gemacht, dass sie sich Angriffen ausgesetzt haben. Schließlich wurden My Book Live-Geräte seit 2015 nicht mehr aktualisiert und sind daher natürlich unsicher! Aber in Wirklichkeit waren My Book Live-Laufwerke anfällig für das Zurücksetzen auf die Werkseinstellungen und CVE-2018-18472 “Fernbedienung” Exploits, lange bevor Western Digital die Softwareunterstützung eingestellt hat.
Western Digital sagt, dass es ab Juli dieses Jahres kostenlose Datenwiederherstellungsdienste und ein kostenloses My Cloud-Gerät für My Book Live-Besitzer anbieten wird. Wenn Sie noch immer ein My Book Live-Gerät verwenden, trennen Sie es bitte und verwenden Sie es nie wieder.
Quelle: Western Digital