{"id":255150,"date":"2021-06-25T11:10:33","date_gmt":"2021-06-25T09:10:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255150"},"modified":"2021-07-08T15:52:37","modified_gmt":"2021-07-08T13:52:37","slug":"wd-my-book-live-nas-inhalte-werden-pltzlich-weltweit-gelscht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/25\/wd-my-book-live-nas-inhalte-werden-pltzlich-weltweit-gelscht\/","title":{"rendered":"WD My Book Live NAS-Inhalte werden plötzlich weltweit gelöscht"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Jemand mit Western Digital My Book NAS-Ger\u00e4ten unter der Blog-Leserschaft? Es gibt eine beunruhigende Entwicklung, die Besitzer der Ger\u00e4te im Auge behalten sollten. Momentan stellen Besitzer der My Book NAS-Einheiten weltweit fest, dass pl\u00f6tzlich Daten wie von Zauberhand komplett gel\u00f6scht werden. Die Ursache ist unbekannt. So ganz spontan fallen wir schlicht zwei Ursachen ein: Ein Software-Bug, der daf\u00fcr verantwortlich ist. Oder eine Schwachstelle, die von jemandem ausgenutzt wird, um m\u00f6glichst gro\u00dfen Schaden anzurichten.<\/p>\n

<\/p>\n

\"\"Das Thema ist mir seit dieser Nacht gleich an zwei Stellen auf die F\u00fc\u00dfe gefallen. Hier ein schnellere \u00dcberblick, was bisher bekannt ist.<\/p>\n

Eine Meldung im WS-Forum<\/h2>\n

In der Community von Western Digital gibt es seit dem 24. Juni 2021 einen Eintrag<\/a>, der das gesamte Desaster beschreibt. Hier der Auszug (falls der Beitrag mal gel\u00f6scht wird).<\/p>\n

Help! All data in mybook live gone and owner password unknown<\/strong><\/p>\n

I have a WD mybook live connected to my home LAN and worked fine for years. I have just found that somehow all the data on it is gone today, while the directories seems there but empty. Previously the 2T volume was almost full but now it shows full capacity.<\/p>\n

The even strange thing is when I try to log into the control UI for diagnosis I was-only able to get to this landing page with an input box for \"owner password\". I have tried the default password \"admin\" and also what I could set for it with no luck. There seems to be no change to retrieve or reset password on this landing page either.<\/p>\n

Could anyone help to find what was going on to this drive? I am stuck at emptied data on it now\u2026Thanks in dadvance!<\/p><\/blockquote>\n

Dem Besitzer eines WD My Book ist es passiert, dass pl\u00f6tzlich alle Dateien auf dem NAS gel\u00f6scht wurden. Aber was noch problematischer ist: Er kann sich nicht mehr an der Benutzeroberfl\u00e4che zur Verwaltung der NAS-Einheit anmelden, da das Passwort f\u00fcr den Besitzer des Ger\u00e4ts nicht mehr akzeptiert wird. Er hat folgenden Screenshot gepostet:<\/p>\n

\"WD
\nWD My Book Live owner password, Quelle: WD Community<\/p>\n

In den Log-Dateien hat der Betroffene folgende Eintr\u00e4ge gefunden, die einen Factory-Restore per Shell-Script belegen.<\/p>\n

Jun 23 15:14:05 MyBookLive factoryRestore.sh: begin script:
\nJun 23 15:14:05 MyBookLive shutdown[24582]: shutting down for system reboot
\nJun 23 16:02:26 MyBookLive S15mountDataVolume.sh: begin script: start
\nJun 23 16:02:29 MyBookLive _: pkg: wd-nas
\nJun 23 16:02:30 MyBookLive _: pkg: networking-general
\nJun 23 16:02:30 MyBookLive _: pkg: apache-php-webdav
\nJun 23 16:02:31 MyBookLive _: pkg: date-time
\nJun 23 16:02:31 MyBookLive _: pkg: alerts
\nJun 23 16:02:31 MyBookLive logger: hostname=MyBookLive
\nJun 23 16:02:32 MyBookLive _: pkg: admin-rest-api<\/p><\/blockquote>\n

Der Betroffene schreibt, dass zu diesem Zeitpunkt bei ihm niemand zuhause war. Im Thread best\u00e4tigen weitere Nutzer das Problem, dass da was wohl remote gel\u00f6scht wurde und dass \u00e4hnliche log-Eintr\u00e4ge vorhanden sind. An dieser Stelle br\u00f6ckelt meine Eingangs aufgestellte Annahme, dass ein Bug den Laufwerksinhalt l\u00f6scht.<\/p>\n

Es sieht so aus, als ob ein unbekannter Dritter da den Inhalt gel\u00f6scht und den Benutzerzugang gesperrt hat. Inzwischen gibt es weitere Hilferufe im Web (reddit.com<\/a>, WD-Forum<\/a>).<\/p>\n

Was ist betroffen?<\/h2>\n

Es trifft wohl das WD My Book, ein Netzwerkspeicherger\u00e4t (NAS), dessen Name sich wohl aus der Geh\u00e4useform, die wie ein Buch ausschaut, herleitet (siehe obiges Bild). Wichtig ist, dass die Ger\u00e4tebesitzer mittels der WD My Book Live-App remote auf ihre Dateien zugreifen und ihre Ger\u00e4te aus der Ferne verwalten k\u00f6nnen, selbst wenn sich das NAS hinter einer Firewall oder einem Router befindet. Das er\u00f6ffnet einen Angriffspunkt f\u00fcr Remote-Geschichten, die per Internet passieren. Denn f\u00fcr diese Funktion m\u00fcssen Ports am Router bzw. an der Firewall ge\u00f6ffnet werden – jede Sicherheitsl\u00fccke kann so ausgenutzt werden.<\/p>\n

Mehr Artikel zum Thema<\/h2>\n

Die Nacht ist mir dann ein Artikel<\/a> von Bleeping Computer sowie ein Beitrag<\/a> von Arstechnica, die das Ganze aufgreifen. Letztendlich fassen die Beitr\u00e4ge das zusammen, was ich oben skizziert habe. Von Western Digital gibt es wohl eine E-Mail an Kunden, die Arstechnica und Bleeping Computer vorliegt – die sich aber auch im WD-Forum einsehen<\/a> l\u00e4sst. Hier der Text:<\/p>\n

Western Digital has determined that some My Book Live devices are being compromised by malicious software. In some cases, this compromise has led to a factory reset that appears to erase all data on the device. The My Book Live device received its final firmware update in 2015. We understand that our customers' data is very important. At this time, we recommend you disconnect your My Book Live from the Internet to protect your data on the device. We are actively investigating and we will provide updates to this thread when they are available.<\/p><\/blockquote>\n

In kurz: Western Digital untersucht den Fall, dass Ger\u00e4te \u00fcber My Book Live m\u00f6glicherweise kompromittiert wurden, wodurch in einigen F\u00e4llen ein Factory-Reset ausgef\u00fchrt und Inhalte gel\u00f6scht wurden. Es wird ausgef\u00fchrt, dass My Book Live-Ger\u00e4te 2015 letztmalig Firmware-Updates erhalten haben. Der einzige Ratschlag des Herstellers: Die Ger\u00e4te vom Internet zu trennen, um die gespeicherten Daten zu sch\u00fctzen. Aktuell untersucht WD den Fall und will, sobald weitere Erkenntnisse vorliegen, Details ver\u00f6ffentlichen.<\/p>\n

Erg\u00e4nzung:<\/strong> Es gibt diesen WD-Beitrag<\/a>, der auf die Schwachstelle\u00a0CVE-2018-18472<\/a> verweist. K\u00f6nnte hin kommen, da es seit 2015 ja keine Updates mehr gab. Von Wizcase wurde ich noch informiert, dass man 2018 in diesem Artikel<\/a> etwas zu den betreffenden Schwachstellen ver\u00f6ffentlicht habe. Das Problem war wohl<\/a>, dass WD beim letzten Firmware-Update 2015 eine Authentifizierung vor dem Zur\u00fccksetzen des NAS ausgebaut hat.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Jemand mit Western Digital My Book NAS-Ger\u00e4ten unter der Blog-Leserschaft? Es gibt eine beunruhigende Entwicklung, die Besitzer der Ger\u00e4te im Auge behalten sollten. Momentan stellen Besitzer der My Book NAS-Einheiten weltweit fest, dass pl\u00f6tzlich Daten wie von Zauberhand komplett gel\u00f6scht … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[41,426],"tags":[930,4328],"class_list":["post-255150","post","type-post","status-publish","format-standard","hentry","category-datentrager","category-sicherheit","tag-nas","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255150","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255150"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255150\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255150"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255150"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255150"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}