Western Digital-Anwender sehen sich einem weiteren RCE gegenüber

  • Sagen Sie hallo zu einem weiteren Zero-Day und einem weiteren potenziellen Remote-Daten-Tod für diejenigen, die ihre My Cloud-Speichergeräte nicht aktualisieren können/wollen.

    Aller schlechten Nachrichten sind drei, vor allem für Kunden von Western Digital.

    Als wäre es nicht schon schlimm genug für die unzähligen Kunden von Western Digital, deren Daten im letzten Monat verschwunden sind, gibt es einen weiteren Zero-Day für alle, die ihre My Cloud-Speichergeräte nicht aktualisieren können oder wollen.

    Der neueste Zero-Day beinhaltet eine Angriffskette, die es einem nicht authentifizierten Eindringling ermöglicht, Code als Root auszuführen und eine permanente Backdoor auf den Network-Attached-Storage-Geräten (NAS) des Herstellers zu installieren. Sie wurde in allen NAS-Geräten von Western Digital gefunden, auf denen das alte, nicht mehr unterstützte Betriebssystem My Cloud 3 läuft: ein Betriebssystem, das sich laut den Forschern “in der Schwebe” befindet, da Western Digital kürzlich den Support dafür eingestellt hat.

    Western Digital hat gesagt, dass sein Update – My Cloud OS 5 – den Fehler behoben hat. Vielleicht ist das so, aber die Forscher, die die OS 3-Schwachstelle gefunden haben, Radek Domanski und Pedro Ribeiro, sagten dem Sicherheitsjournalisten Brian Krebs, dass OS 5 eine komplette Neufassung von OS 3 war, die einige beliebte Features und Funktionen aufspießte. Daher ist es wahrscheinlich, dass nicht alle Benutzer ein Upgrade durchführen werden: eine Vermutung, die durch die vielen Benutzer unterstrichen wird, die im Support-Forum angaben, OS 3 zu verwenden, als der Remote-Datenlöschvorgang im Juni stattfand.

    “Es brach eine Menge Funktionalität,” sagte Domanski von OS 5, wie von Krebs zitiert. “Daher entscheiden sich einige Benutzer vielleicht nicht für eine Migration zu OS 5.”

    Es gibt Hoffnung. Domanski und Ribeiro haben einen eigenen Patch entwickelt und veröffentlicht, der die von ihnen gefundenen Schwachstellen in OS 3 behebt. Ein Problem: Er muss bei jedem Neustart des Geräts neu angewendet werden.

    Die globale RCE-Datenlöschung

    Letzten Monat haben wir gesehen, wozu so ein Fehler führen kann: Kunden auf der ganzen Welt jammerten, als Jahre – in manchen Fällen Jahrzehnte – an Daten von ihren alten My Book Live- und My Book Live Duo-Geräten ferngesteuert gelöscht wurden.

    Der Angriff im Juni stellte sich tatsächlich als zwei Angriffe heraus, die auf den ersten Blick wie einer aussahen: Ein alter Remote-Code-Execution (RCE)-Bug aus dem Jahr 2018, den Western Digital zunächst für die Remote-Löschungen verantwortlich machte, und dann ein bisher unbekannter Zero-Day-Fehler, der unauthentifizierte Remote-Löschungen von Geräten mit Werksreset ermöglichte.

    Wie Dan Goodin von Ars Technica in einem faszinierenden Bericht ausführte, analysierten Ars und Derek Abdine, CTO bei der Sicherheitsfirma Censys, Logs von betroffenen Geräten und fanden heraus, dass die Geräte in einer Art Tauziehen gefangen zu sein schienen, wobei Abdine die Hypothese aufstellte, dass es sich um einen Kampf zwischen mehreren Angreifern um die Kontrolle über die kompromittierten Geräte gehandelt haben könnte.

    Der neueste Zero Day

    Jetzt kommt dieser, der neueste Fehler, der letzte Woche von Krebs gemeldet wurde. Es ist eine dritte, ähnlich schwerwiegende Zero-Day-Schwachstelle in einer viel breiteren Palette von neueren Western Digital My Cloud NAS-Boxen. Domanski und Ribeiro planten ursprünglich, sie beim Pwn2Own-Hacking-Wettbewerb in Tokio im letzten Jahr zu präsentieren.

    Das haben sie aber nie getan: Wie es Hersteller zu tun pflegen, brachte Western Digital nur eine Woche vor der Präsentation der beiden, die zusammen als Flashback Team hacken, ein Update heraus. Da das Update ihren Bug zerquetschte, konnten die Forscher nicht antreten. Die Pwn2Own-Regeln schreiben vor, dass Exploits gegen die neueste Firmware oder Software funktionieren müssen, die für ein bestimmtes Gerät unterstützt wird.

    Im Februar veröffentlichten sie jedoch die von ihnen zusammengestellte Angriffskette, die in dem untenstehenden YouTube-Video zu sehen ist. Das Duo gab Western Digital “eine Kostprobe ihrer eigenen Medizin” und gab dem Unternehmen nur eine Woche Zeit, um die Schwachstelle zu beheben, als Spiegel der einen Woche, die das OS 5-Update vor dem Pwn2Own-Event ausfiel.

    Warum so wenig Zeit? Ein paar Gründe: Weil OS 3 nicht mehr unterstützt wird, weil die Forscher von Comparitech bereits fünf kritische RCE-Schwachstellen in Western-Digital-Geräten gefunden hatten, die sie bereits im November 2020 veröffentlichten, weil Western Digital nie auf das Flashback-Team reagiert hat und weil die offizielle Antwort von Western Digital eher ein Achselzucken war. Der Hersteller empfahl nämlich, OS 3 wegzuwerfen und auf OS 5 zu aktualisieren: eine Antwort, die nicht klarstellte, ob das Unternehmen die OS-3-Schwachstellen tatsächlich behoben hatte.

    In einer Erklärung vom 12. März 2021 sagte das Unternehmen, dass OS 3 nicht mehr unterstützt würde:

    Wir werden keine weiteren Sicherheitsupdates für die My Cloud OS3-Firmware bereitstellen. Wir empfehlen dringend, auf die My Cloud OS5-Firmware zu wechseln.

    “Wir raten dringend dazu, auf die My Cloud OS5-Firmware umzusteigen”, so Western Digital in der Erklärung. “Wenn Ihr Gerät nicht für ein Upgrade auf My Cloud OS 5 geeignet ist, empfehlen wir Ihnen, auf eines unserer anderen My Cloud-Angebote umzusteigen, die My Cloud OS 5 unterstützen. Weitere Informationen finden Sie hier.” Der Hersteller hat auch eine Liste von My Cloud-Geräten bereitgestellt, die OS 5 unterstützen können.

    Western Digital ignorierte die Frage von Krebs, ob die Sicherheitslücken in OS 3 jemals behoben wurden. Threatpost hat sich mit der gleichen Frage an das Unternehmen gewandt und wird den Artikel aktualisieren, wenn wir eine Antwort erhalten.

    Western Digital teilte Krebs mit, dass es dem Flashback Team nicht geantwortet habe, weil es dessen Bericht nach Pwn2Own Tokyo 2020 erhalten habe, aber zu diesem Zeitpunkt sei die gemeldete Schwachstelle bereits mit der Veröffentlichung von My Cloud OS 5 behoben worden.

    “Die Kommunikation, die uns erreichte, bestätigte, dass das beteiligte Forschungsteam plante, Details der Schwachstelle zu veröffentlichen und bat uns, sie bei Fragen zu kontaktieren”, sagte Western Digital gegenüber Krebs OnSecurity. “Wir hatten keine Fragen, also haben wir nicht geantwortet. Seitdem haben wir unseren Prozess aktualisiert und antworten auf jeden Bericht, um eine solche Fehlkommunikation zu vermeiden. Wir nehmen Berichte aus der Sicherheitsforschungs-Community sehr ernst und führen Untersuchungen durch, sobald wir sie erhalten.”

    Das trifft es nicht

    Craig Young, leitender Sicherheitsforscher bei Tripwire, sagte gegenüber Threatpost, dass das Ignorieren von Hinweisen von Sicherheitsforschern eine Unsitte sei. “Es ist eine sehr schlechte Praxis für Software-Anbieter, Mitteilungen von Sicherheitsforschern zu ignorieren”, sagte er per E-Mail. “‘Wir hatten keine Fragen, also haben wir nicht geantwortet’ reicht als Erklärung für das Schweigen der Hersteller einfach nicht aus.”

    Vielmehr schreibt die Best Practice vor, dass “alle Berichte, die bei einem Sicherheitsteam eingehen, in irgendeiner Form eine Antwort an den Berichterstatter erhalten”, so Young weiter. “Es lohnt sich auch, hier einen genaueren Blick auf die Zeitachse zu werfen. Nach dem, was ich gelesen habe, wusste der Hersteller von der kritischen Schwachstelle, die OS 3 betraf, mehrere Monate bevor der Support für diese Plattform endete. Es ist zwar verständlich, dass er die Veröffentlichung einer neuen Hauptversion mit den Sicherheitskorrekturen priorisiert hat, aber der Hersteller hätte den Fix für OS 3-Anwender auch schon lange vor dem Ende des Supports im März 2021 zurückportieren müssen.”

    Einige Teile dieses Artikels stammen aus:
    threatpost.com