Dataverlies WD My Book Live door bekende 2018-bug én door zeroday

Het gaat om een fout in de software die de mogelijkheid biedt om deze NAS-apparaten van WD op afstand terug te zetten naar de fabrieksinstellingen. Daarbij wordt ook een volledige wipe-operatie uitgevoerd, waardoor data op deze hardware voor centrale opslag en back-up worden gewist. WD meldt nu dat de lopende aanvallen op My Book Live-gebruikers worden uitgevoerd door misbruik van meerdere kwetsbaarheden.

Twee aanvallers?

De aanvankelijk als oorzaak aangewezen 2018-bug is dus door de opslagfabrikant niet uitgesloten van betrokkenheid bij het grote dataverlies voor klanten. Analyse door Ars Technica en securitybedrijf Censys wijst uit dat er mogelijk twee verschillende hackaanvallen - en bijbehorende aanvallers - aan de orde zijn. De ene zou de oude, bekende kwetsbaarheid hebben benut, de ander de nieuw ontdekte kwetsbaarheid.

De kwetsbaarheid uit 2018 geeft kwaadwillenden de mogelijkheid om op afstand eigen opdrachten uit te voeren op de vatbare My Book Live-modellen. Dit gebeurt dan met root-rechten. De nu ontdekte andere kwetsbaarheid reikt minder ver wat toegang door onbevoegden betreft, maar is voor gebruikers minstens zo erg doordat het dataverlies oplevert.

Onveiliger door update

De nieuwe bug, die CVE-nummer 2021-35941 heeft gekregen, betreft een beheerders-API (application programming interface) waarmee op afstand een fabrieksreset is uit te voeren. Deze drastische ingreep op de NAS valt te doen zónder dat de 'beheerder' zich daarvoor hoeft te authenticeren.

Deze kwetsbaarheid is niet altijd aanwezig geweest in de betreffende opslaghardware, maar is door de fabrikant later in de levensduur van de hardware 'geïntroduceerd'. Oorspronkelijk was deze functionaliteit wél voorzien van een vereiste voor authenticatie. Dat is echter door WD verwijderd in een update van april 2011 toen de authenticatiecode in de firmware is herzien. Een programmeerfout heeft daarbij gezorgd voor het wegvallen van de controle op bevoegdheid voor een fabrieksreset.

Software bepaalt levensduur

De 2021-bug was onbekend vóór het misbruik en voordat er een patch is, waarmee het formeel een zero-day kwetsbaarheid is. Daarbij is het een 'eeuwige zero-day' omdat er naar verwachting geen patch gaat komen. WD heeft namelijk zijn support voor de My Book Live in 2015 stopgezet. Daardoor is de ernstige 2018-bug ook al niet gepatched.

De fabrikant van opslagsystemen zegt getroffen gebruikers nu wel te helpen door datahersteldiensten aan te bieden, die vanaf juli beschikbaar zullen zijn. Het is niet bekend of die kostbare dienst dan gratis of met korting is. Daarnaast biedt WD aan klanten een inruilprogramma voor hun My Book Live-apparaten (de My Book Live en de My Book Live Duo), om die te kunnen upgraden naar een nieuwer My Cloud-apparaat wat nog wel ondersteund wordt. Ook daarvan is nu nog niet bekend wat exact de voorwaarden en kosten zijn.