Werksreset möglich: Western Digital My Book Live und My Book Live Duo werden angegriffen
von caschy | 22 Kommentare
Das dürfte wohl der Horror für Besitzer der „alten“ Modelle einer My Book Live oder My Book Live Duo von Western Digital sein. Offensichtlich gibt es Malware, die Geräte angreift, die sich über das Internet erreichen lassen. My Book Live oder My Book Live Duo werden dabei angegriffen und bei Erfolg kompromittiert – und in einigen Fällen sorgt die Kompromittierung für einen Werksreset, in dessen Folge auch alle Daten des Nutzers gelöscht werden. Andere Nutzer berichten, dass ihre externe Festplattenlösung mit einem unbekannten Passwort versehen wurden.
Western Digital beschreibt den Vorfall wie folgt: Western Digital hat festgestellt, dass einige My Book Live-Geräte durch bösartige Software kompromittiert werden. In einigen Fällen hat diese Kompromittierung zu einem Werksreset geführt, der scheinbar alle Daten auf dem Gerät löscht. Das My Book Live-Gerät hat sein letztes Firmware-Update im Jahr 2015 erhalten. Wir verstehen, dass die Daten unserer Kunden sehr wichtig sind. Zu diesem Zeitpunkt empfehlen wir Ihnen, Ihr My Book Live vom Internet zu trennen, um Ihre Daten auf dem Gerät zu schützen. Wir untersuchen das Problem aktiv und werden diesen Thread aktualisieren, sobald sie verfügbar sind.
Nutzer sollen also ein Auge auf den verlinkten Thread von Western Digital haben und vorsorglich ihre Geräte vom Netz trennen. Betroffene können auch einen Blick in das Forum von WD werfen. Interessant dürfte sein, wie die Malware arbeitet, denn die Geräte von WD arbeiten meines Wissens nicht mit eurer Verbindung direkt, sondern müssen sich erst auf WD-Servern einklinken. Jene sorgen dann für die Kommunikation zwischen euch und der WD-Lösung daheim.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Aus solchen Gründen bin ich vor einigen Jahren auch komplett weg von diesen Fertiglösungen. Auch bei grundsätzlich recht guten Systemen wie Synology endet eben Mal der Support. Das ist weder nachhaltig für den den Geldbeutel noch für die Umwelt.
Seit mehr als 5 Jahren habe ich jetzt einen „normalen“ Debian Server als NAS. Der bekommt so lange Updates wie es Open source Betriebssysteme auf der Welt gibt. Und nach einmaligem Einrichten ist der Wartungsaufwand auch äußerst gering, wenn man auf unattended Updates vertraut.
Ich habe zumindest noch von keiner Sicherheitslücke gehört die dafür gesorgt hat, dass man alle Linux Server vom Netz nehmen soll. Höchstens Mal einzelne Dienste wie VPN abschalten wegen heartbleed oder ähnliches.
Einziges Manko bei der Sache ist das Major Upgrade bei einer neuen Debian Version… Da wäre noch die Überlegung auf eine Distribution mit etwas längeren Supportzeiträumen zu wechseln.
Ja nur kann das halt nicht jeder.
Der Vorteil von diesen kleinen Lösungen ist halt das der Stromverbrauch sehr gering ist.
Mit den eigenen Bastel Lösungen kommst du da nicht hin.
Ich hatte auch eine 2TB WD die Jahre Lang im Keller seinen Dienst verrichtete.
Die WD hätte ich nie ins Internet gehängt. Der Software Support war bei WD schon immer das letzte.
Dafür war die Netzwerkplatte günstig und hat seine Aufgabe erfüllt.
Die Qnap und Synos die ich Privat und Beruflich nutze haben bisher alle regelmäßige Softwareupdates bekommen.
Meine Qnap ist jetzt über 5 Jahre im Einsatz und bekommt immer noch Software Updates.
Ebenso die Synos.
Das Qnap oder Syno den Produktsupport nach ein paar Jahren einstellt kann ich so nicht bestätigen.
Naja das wird sich auch an Emma und Paul richten, die von Servern keine Ahnung haben. Halte ich aber auch für Schwachsinn. Wenn du dich nicht auskennst, nutz eine Backup-Platte und wenn du dich auskennst, willst du doch in der Regel eh nicht solche Lösungen haben. Gerade mit Western Digital habe ich auch nicht allzu viele gute Erfahrungen machen können.
Ich bin gerade wieder hin zu einem NAS von der Stange – TerraMaster F5-221. Allerdings war meine erste Amtshandlung auch: internen USB-Stick raus, SSD in bay 1 rein (das Teil hat 5 bays), Debian Netzwerkinstallation drauf, SSH für root freischalten – den Rest bequem vom PC aus aufgespielt: OpenMediaVault, pi-hole und miniDLNA.
Hab direkt davor auch einen kleinen Eigenbau-Server gefahren, das NAS ist aber kompakter, leiser und stromsparender, dazu ist die CPU noch etwas leistungsfähiger als die AMD E1-6010 APU in meinem Server.
So eine My Book Live hatte ich auch mal, fürchterlich langsam und nervig.
Die habe ich dann 2016 (nachdem es keine Updates mehr gab) durch eine Synology DS115 ersetzt (wobei ich die HDD der My Book Live weiterverwendet habe) und selbst dieses kleine Model von Synology war eine Offenbarung im Vergleich zur WD-Lösung.
So wie es aussieht, gehöre ich zu dem Kreis der Glücklichen, dessen WD MyBook Live Duo von irgendwelchen gelangweilten, unterv… Schwachmaten gehackt worden ist!
Ich könnte gerade die Wände hochgehen, denn auf dem NAS liegen nicht nur Unmengen an Multimedia-Dateien, die nun evtl. für immer futsch sind, sondern auch die nicht mit Geld aufzuwiegenden Bilder meiner Kinder, meine gesamten Dokumente (privat und geschäftlich) und dergleichen mehr.
Naiv wie ich war, dachte ich, daß der RAID-Verbund ausreichend Sicherheit gegen jegliche Art von Datenverlust bieten würde und man auf die Sicherheit eines großen Konzerns bzw. eines Massenproduktes einigermaßen vertrauen könnte…
Ich habe nun mehrmals schon versucht, das Gerät per Reset-Knopf zurückzusetzen, ohne die Daten zu gefährden. Laut Anleitung reicht hierfür ein viersekündiges Drücken aus, dann sollten die Pw zurücksetzt sein.
Dem ist aber offensichtlich nicht so, denn ich komme weder mit dem Standardpaßwort „admin“, noch mit meinem früheren Paßwort auf das Gerät drauf (habe es über den Browser und Eingabe der IP in der Adreßzeile versucht).
Kann mir jemand der anwesenden Fachkundigen vielleicht weiterhelfen? Der Verlust meiner Daten, v.a. der Bilder meiner Kinder, wäre für mich wirklich ein absoluter Supergau! Für Hilfe wäre ich wirklich sehr, sehr dankbar!
Für mich kommen grundsätzlich alle Lösungen in Frage, die meine Daten, sofern nicht von o.g. Schwachmaten bereits gelöscht, irgendwie wiederherstellen können – also auch eher kostspielige, wie eine Neuanschaffung mit „Umzug“ der alten Festplatten ins neue NAS (sofern die Platten dann überhaupt lesbar sind).
Ich bin sicherlich kein Experte, kann dir aber aus der Erfahrung der Vergangenheit raten, die Festplatten auszubauen und sie zunächst nicht weiter schreiben lassen.
Versuche die Festplatten mit einer Docking Station an einer Linux Maschine zu mounten. (https://www.amazon.de/dp/B01K7GXMTC/ref=cm_sw_em_r_mt_dp_DEDKFPRGHGHHKHYW3ZT1?_encoding=UTF8&psc=1)
Da du anscheinend ein RAID nutzt, ist die Angelegenheit etwas kompliziertes. Habe ich leider noch nicht gemacht, aber im Internet gibt es viel Material dazu.
Anschließend kannst du versuchen mit PhotoRec eine Wiederherstellung zu starten.
Ich wünsche dir ganz viel Glück.
@Matthias
Ich finde gerade den Beitrag nicht mehr, er stammt aus dem von Caschy verlinkten WD Forum, siehe oben im Artikel.
Dort hatte einer die Platte aus dem MyBookLive aus- und in ein USB Festplatten Leegerhäuse eingbaut.
Software wie Recuva konnte dann zumindest einen Teil der Daten wiederfinden.
Vielleicht hilft Dir das ja was.
LG, der Pie
Ich habe das auch versucht (mit einem LogiLink QP0010) – klappt allerdings leider nicht! Ich weiß nicht, ob es an der Docking-Station liegt, an der Formatierung der HDDs oder vielleicht auch einfach an meiner Unkenntnis…
Wie sieht denn deine Platte grade aus? Werkseinstellung? Verschlüsselt?
Meine erste Handlung wäre: Ausschalten und Platte Klonen. Denn wenn die Platte „gelöscht“ wird, wird meist nur das Inhaltsverzeichnis gelöscht und kann „vielleicht“ recovered werden!
Da dieses Inhaltsverzeichnis jetzt aber bei jeder Schreiboperation den ggf. mit deinen Daten belegten Plattenplatz anbietet, wird das schwieriger, je länger das Teil eingeschaltet ist!
Also: Ausschalten, Platte ausbauen, Am PC auf eine zweite Platte Klonen! (Platte muss die gleiche Größe haben!)
Soweit ich mich erinnere (habe die Einrichtung „vor Urzeiten“ gemacht), war fast alles auf Werkseinstellung eingestellt, von den Einrichtungen der verschiedenen Nutzer usw. mal abgesehen.
Das mit dem Platte am Rechner auslesen klappt bei mir im Moment leider nicht! Ich habe versucht, sie per Logilink QuickPort 0010 am Laptop auszulesen, aber dort wird sie im Windows-Explorer nicht angezeigt (im Geräte-Manager werden sie allerdings als fehlerfrei angezeigt). Das kann jetzt entweder an der exotischen Formatierung liegen, die WD wohl standardmäßig eingerichtet hat (64KB Blockgröße usw. – siehe Seite von OpenWrt) oder daran, daß die Docking-Station für meine Zwecke nicht taugt. Oder an meiner Unkenntnis! 😉
… oder daran, dass du versuchst, eine Linux/ext3-formatierte Platte mit Windows zu lesen.
Gab es das von über zehn Jahren nicht auch schon einmal bei „normalen“ Festplatten? Ich war davon betroffen. Der Hersteller war glaube ich Seagate, deren Platte nach einer Anzahl x von Systemstarts die Daten unwiderruflich verlor/zerstörte. Die Platte wurde einfach vom Hersteller ausgetauscht und es war mein Einstieg in eine regelmäßige Datensicherung.
Matthias, du hast gerade zwei Lektionen auf schmerzhafte Art und Weise gelernt:
1) Man lässt nicht irgendwelche Dienste im heimischen Netz laufen, die ohne VPN frei aus dem Internet erreichbar sind
2) Ein RAID ist kein Backup
Um was Konstruktives beizutragen: Scheint, dass die Platten mit mkfs im Schnellformat gelöscht wurden. Um wenigstens einige der Daten retten zu können: NAS ausmachen, Platten ausbauen, am besten eine 1:1-Kopie der Platte anfertigen und mit der Kopie eine Datenrettung (Photorec, Easus, …) starten.
Ja, das mit dem RAID habe ich jetzt in der Tat schmerzhaft gelernt! Wobei ich mich wohl zumindest bez. Nr. 1 nicht ärgern muß, da der Angriff wohl alle WD NAS betroffen hat, also auch solche, die keine Freigabe über das Internet eingerichtet hatten.
Zur Datenrettung: Ich habe im Moment das Problem, daß die Platten über den Anschluß per Logilink QuickPort 0010 nicht im Windows-Explorer auftauchen (im Geräte-Manager werden sie allerdings als fehlerfrei angezeigt). Das kann jetzt entweder an der exotischen Formatierung liegen, die WD wohl standardmäßig eingerichtet hat (64KB Blockgröße usw. – siehe Seite von OpenWrt) oder daran, daß die Docking-Station für meine Zwecke nicht taugt. Kannst Du mir hier ggf. eine andere Docking-Station empfehlen oder noch einen Tip geben, wie ich hier (mit meiner Station) weiterkomme? Treiber müssen hierfür wohl nicht installiert werden, wenn der Geräte-Manager keinen Fehler anzeigt, oder?
Wow. Also so wie ich das nach etwas lesen im WD Thread verstehe scheint es NICHT nötig gewesen zu sein dass man das Gerät im Internet frei gibt (portforwarding) und der Befehl für die Werkseinstellungen kam direkt von einem WD Server?
Das ist echt krass. Gut, dass ein RAID System kein Backup ersetzt ist jetzt wirklich nichts neues (alle Daten wären auch weg wenn man nur 1x aus versehen die falschen Ordner selektiert und löscht oder sich einen verschlüsselungstrojaner fängt)… aber dass der Befehlt zur Datenlöschung von WD kommt ist schon was besonderes was ich nicht erwartet hätte!
Ich bin ja ein sehr großer Freund der My Book Live-Geräte, hauptsächlich weil sie klein und unauffällig und leistungsfähig genug für mich sind. Im Moment laufen noch in der ganzen Welt verstreut ein gutes halbes Dutzend My Book Lives mit einer Festplatte, und zwei My Book Duo …
… und sie fahren alle mittlerweile OpenWrt. Das apm821xx-Target ist seit 2016 in OpenWrt (und mittlerweile auch im Upstream-Linux), und wenn man nur SMB und rsync benötigt, ist OpenWrt optimal. Nachdem WD vor einem halben Jahrzehnt die Updates eingestellt hat und die Firmware auf dem uralten 2.6-Kernel stehengeblieben ist, war die Umstellung beinahe Selbsthilfe. Und heute nach dieser Nachricht bin ich glücklich, das vor Jahren gemacht zu haben.
Wie hast Du denn die Umstellung der Firmware bewerkstelligt? Da das Update auf OpenWrt ja mit einer Löschung der Daten einergeht, müßte man diese ja erst einmal „auslagern“. Nur hätte ich persönlich jetzt keine Möglichkeit, 3TB an Daten irgendwo „zwischenzulagern“ – zumal auf die Zeit und die Fehlerrate beim Verschieben über das Netzwerk (Anschluß per USB ist ja leider nicht möglich!) gegen eine händische Sicherung der gesamten Festplatte sprechen würden.
Richtig, die Daten werden gelöscht, man kann ein My Book Live nicht „konvertieren“. Müssen sie, weil WD’s eigene Firmware die Platten mit 64k-Blocksize formatiert (und die 64k Page Size in den Kernel einkompiliert sind). Ich habe die Daten mit rsync (lässt sich in der Originalfirmware über optware installieren) auf ein anderes, bereits nach OpenWrt konvertiertes My Book Live umkopiert. Wo hier eine „Fehlerrate“ ins Spiel kommt, verstehe ich nicht ganz. Und ein Backup der Daten sollte man ohnehin immer haben, egal in welcher Form.
Insofern verstehe ich auch das Gejammer jetzt nicht, dass unwiederbringliche persönliche oder berufliche Daten weg sind. Das wäre ja auch passiert, wenn die Festplatte eines natürlichen Todes gestorben wäre. Alte Admin-Weisheit: Daten, die nur an einer einzigen Stelle gespeichert sind, sind gar nicht gespeichert.
Noch ein kleiner Nachtrag zu meiner Spekulation vom Freitag Abend: Nachdem was im WD Forum geschrieben wird ist wohl uPnP ursächlich für die kompromittierten Geräte und nicht ein kompromittierter WD-eigener Server. Diese WD NAS Geräte öffnen sich in der Standardeinstellung automatisch per UPnP einen Port im Router um von außen erreichbar zu sein – dies ist wohl 99% der Nutzer nicht klar und eine Vielzahl von Routern erlaubt in der Standardeinstellung allen Geräten im LAN dies zu tun wenn sie dies denn möchten.
Über diesen dann per uPnP Protokoll geöffneten Port konnte dann durch die Sicherheitslücke ohne Authentifizierung ein script auf dem WD NAS gestartet werden was die Werkseinstellungen lädt und die ext Dateisysteme neu formatiert. Daten damit erst mal weg – mit photorec und ähnlichen Raw-Recovery Tools kann man da sicherlich manches wieder retten da die Dateien ja nicht überschrieben worden sind – aber vermutlich keine Chance mehr auf Rekonstruktion der Dateinamen/Ordnerstruktur und je nachdem wie fragmentiert die Bilder/Videos/Dateien abgelegt worden sind, sind diese dann wohl auch nicht mehr ok – aber selbst im besten Fall der Datenrettung ist es nun wirklich kein Spaß einen Ordner mit 200.000 jpegs als Ergebnis zu haben die nun wieder von Hand neu sortiert und benannt werden müssen 😉
Übrigens: uPnP Portfreigaben erlauben war bei AVM früher eine globale Einstellung „Alle Geräte im Heimnetz dürfen Portfreigaben selbstständig verändern“, seit FRITZ!OS 6.83 ist diese Einstellung pro Gerät im LAN zu tätigen. Heutzutage ist sie definitiv standardmässig aus, ich bin nicht 100% sicher wie es früher war, vermute aber früher war die globale Einstellung auch standardmässig aus? In aktuellen Telekom Speedports scheint aus ähnlichen Sicherheitserwägungen einfach gar kein uPnP unterstützt zu werden (für Portfreigabe, uPnP hat noch ein paar andere Funktionen die es gibt), bin nicht sicher ob dies historisch auch in allen Speedport Altgeräten immer so war. Falls ja, dürften kaum Deutsche von dem WD Problem betroffen sein wenn sie ne Fritz!Box oder Speedport benutzen.
Fazit:
– es ist sowieso der Nutzer schuld wenn er kein Backup hat und viele Leute dürften nun neu gemerkt haben dass ein RAID kein Backup ist sondern nur gewisser Schutz vor dem Ausfall einer Festplatte und sonst nichts.
– trotzdem ist hier schon ganz gewaltige Schuld bei WD zu suchen: Die Entscheidung uPnP standardmässig aktiv zu haben hätte nicht passieren dürfen – dies hätte nur nach manuellem Eingriff und Warnung der Nutzer über Konsequenz dass Ihr Gerät nun offen im Netz steht möglich sein dürfen.
– spätestens mit Bekanntwerden der Sicherheitslücke (wohl schon seit 2-3 Jahren bekannt) hätte WD nochmal ein Firmware Update veröffentlichen müssen die uPnP deaktiviert wenn sie sich auch nur minimalst um die Sicherheit Ihrer Kunden geschert hätten (wer das Risiko auf sich nehmen möchte hätte dann ja ne manuelle Portfreigabe machen können). Aber WDs Einstellung hierzu war „Gerät ist End-Of-Life, ist doch nicht unser Problem!“.
– etwas mit Schuld sind auch Router Hersteller die Geräten im LAN eine uPnP gesteuerte Portfreigabe erlauben in der Standardkonfiguration – das ist natürlich komfortabel für die XBox und Playstation, aber wie man hier sieht ein Sicherheitsrisiko weil bescheuerte Endgeräte wie dieses WD nicht mehr geschützt sind vor der großen weiten Welt (ähnliche Probleme gab es auch mal bei einer IP Kamera die glaube ich Aldi verkauft hatte – war einfach offen im Internet erreichbar sofern uPnP gestattet wurde vom Router – und die Standard Zugangsdaten hatte dann sicher kaum jemand geändert)
Hallo Gerald,
Vielen Dank für Deine umfassende Darstellung des Problems. Ich hatte wohl das große Glück, dass ich bei meiner FritzBox die neueste Software nutze und das MyBook schon einige Zeit nicht mehr online hatte. Ich habe also noch all meine Daten… Ich stelle mir jetzt die Frage, ob es Sinn macht, das MyBook weiter an der FritzBox und meinem Mac über mein Homenetz zu betreiben, wenn ich mich vorab in der Systemeinstellung der FritzBox versichere, dass die uPnP-Portfreigabe abgeschaltet ist. Oder übersehe ich da etwas. Ich werde mir aber generell eine neue 6-8 TB Netzwerkplatte zulegen, die Daten über einen kurzzeitigen Direktanschluss am Mac kopieren und die alte WD als Backup zur Seite legen. Hast Du für die neue Platte einen Ratschlag für mich.
@Rolando:
Wenn du die entsprechenden Remote Funktionen auch in dem WD NAS deaktivierst (Einstellungen => Remotezugang => Remotezugriff) sollte das eigentlich kein Problem sein (doppelt hält besser, eigentlich reicht es auch in der Fritz!Box, aber da ist das Risiko dass diese vielleicht doch mal gewechselt wird und keiner mehr daran denkt).
Natürlich nur sofern du den Nutzern in deinem lokalen Netz vertraust: denn diese könnten dann ohne Authentifizierung die Werkseinstellungen auslösen, genau wie es letztens per Internet passiert ist.