Abo
  • Services:

Festplatten: WD-My-Cloud-NAS-Geräte kommen mit Backdoor-Account

Wer ein privates NAS aufsetzt, verspricht sich meist mehr Kontrolle über persönliche Daten als in der Cloud. Kritische Sicherheitslücken in Western-Digital-Geräten ermöglichen jedoch Angreifern, sich mit einem Backdoor-Account einzuloggen oder beliebig Dateien hochzuladen.

Artikel veröffentlicht am ,
Die My-Cloud-NAS-Geräte von Western Digital müssen gepatcht werden.
Die My-Cloud-NAS-Geräte von Western Digital müssen gepatcht werden. (Bild: Western Digital/Amazon)

Einige NAS-Geräte für Heimanwender und KMU des bekannten Festplattenherstellers Western Digital werden mit einem Backdoor-Account an Kunden ausgeliefert. Der Zugang wurde mittlerweile über ein Update deaktiviert - Nutzer sollten die Geräte also dringend patchen, besonders wenn diese mit dem Internet verbunden sind.

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. e-das GmbH, Winterbach

Der Bug wurde von James Bercegay von der Firma Gulftech gefunden und an Western Digtal gemeldet. Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba ist eine erfolgreiche Authentifizierung möglich. Nach Angaben von Bercegay ist das dlink im Benutzernamen nicht der einzige Hinweis auf den Routerhersteller, der auch NAS-Geräte produziert. Es soll "Referenzen zu Dateinamen und Dateiordnerstrukturen geben", die relativ eindeutig D-Link zuzuordnen seien.

Firmware mit dem D-Link DNS-320L geteilt

Tatsächlich soll seinen Aussagen zufolge das Gerät D-Link DNS-320L den gleichen Backdoor-Account aufgewiesen haben - einen Patch gibt es dort bereits seit Juli 2014 mit der Firmware-Version 1.0.6. Offenbar nutzen die Geräte in großen Teilen die gleiche Firmware. Nutzer des Western-Digital-Gerätes mussten länger warten, können aber die aktuelle Firmware-Version 2.30.174 nutzen, die den Account entfernt.

Betroffen sind die Geräte Mycloud, Mycloudmirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100. Nicht betroffen sind Geräte mit den Firmware-Versionen 4.x. Western Digital stellt ein Changelog [PDF] bereit.

Der Sicherheitsforscher hat ein weiteres Problem entdeckt, das einen nichtauthentifizierten Upload von Dateien ermöglicht. Der Fehler liegt demnach in der Datei /usr/local/modules/web/pages/jquery/uploader/multi_uploadify.php, die Entwickler hätten die PHP-Funktion gethostbyaddr() falsch verwendet. Auch dieses Problem soll mittlerweile behoben worden sein.



Anzeige
Top-Angebote
  1. (heute u. a. NZXT N7 Z370 Matte Black Mainboard für 237,90€ + Versand statt 272,90€ im...
  2. 263,99€
  3. 44,98€ + USK-18-Versand
  4. (u. a. John Wick, Sicario, Deepwater Horizon, Die große Asterix Edition, Die Tribute von Panem)

Apfelbrot 20. Jan 2018

Dein Selbstbau hat aber einige Nachteile. 1. Er kostet mehr. Außer es ist eine...

User_x 16. Jan 2018

langsam ist die nicht, im gegenteil. und was du als basteln siehst ist für mich...

hg (Golem.de) 16. Jan 2018

Wie es im Artikel steht: Version 4.x ist garnicht betroffen, "Nutzer des Western-Digital...

plutoniumsulfat 16. Jan 2018

"You're holding it wrong!"

dumdideidum 15. Jan 2018

Irgendwas stimmt da nicht im Text. Eine Firmware 2.30.174 gibt es nicht laut Firmware...


Folgen Sie uns
       


Amazons Kindle Paperwhite (2018) - Hands on

Amazons neue Version des Kindle Paperwhite steckt in einem wasserdichten Gehäuse. Außerdem unterstützt der E-Book-Reader Audible-Hörbücher und hat mehr Speicher bekommen. Das neue Modell ist zum Preis von 120 Euro zu haben.

Amazons Kindle Paperwhite (2018) - Hands on Video aufrufen
Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Lichtverschmutzung: Was Philips Hue mit der Tierwelt im Garten macht
Lichtverschmutzung
Was Philips Hue mit der Tierwelt im Garten macht

LEDs für den Garten sind energiesparend und praktisch - für Menschen und manche Fledermäuse. Für viele Tiere haben sie jedoch fatale Auswirkungen. Aber mit einigen Änderungen lässt sich die Gartenbeleuchtung so gestalten, dass sich auch Tiere wohlfühlen.
Ein Bericht von Werner Pluta

  1. Play und Signe Neue farbige Philips-Hue-Leuchten für indirektes Licht
  2. Smart Home Weitere Hue-Leuchten fürs Badezimmer vorgestellt
  3. Badezimmerspiegel Philips Hue kommt ins Bad

Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

    •  /