Festplatten: WD-My-Cloud-NAS-Geräte kommen mit Backdoor-Account

Einige NAS-Geräte für Heimanwender und KMU des bekannten Festplattenherstellers Western Digital werden mit einem Backdoor-Account an Kunden ausgeliefert. Der Zugang wurde mittlerweile über ein Update deaktiviert - Nutzer sollten die Geräte also dringend patchen, besonders wenn diese mit dem Internet verbunden sind.

Der Bug wurde von James Bercegay von der Firma Gulftech gefunden und an Western Digtal gemeldet. Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba ist eine erfolgreiche Authentifizierung möglich. Nach Angaben von Bercegay ist das dlink im Benutzernamen nicht der einzige Hinweis auf den Routerhersteller, der auch NAS-Geräte produziert. Es soll "Referenzen zu Dateinamen und Dateiordnerstrukturen geben", die relativ eindeutig D-Link zuzuordnen seien.

Firmware mit dem D-Link DNS-320L geteilt

Tatsächlich soll seinen Aussagen zufolge das Gerät D-Link DNS-320L den gleichen Backdoor-Account aufgewiesen haben - einen Patch gibt es dort bereits seit Juli 2014 mit der Firmware-Version 1.0.6. Offenbar nutzen die Geräte in großen Teilen die gleiche Firmware. Nutzer des Western-Digital-Gerätes mussten länger warten, können aber die aktuelle Firmware-Version 2.30.174 nutzen, die den Account entfernt.

Betroffen sind die Geräte Mycloud, Mycloudmirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100. Nicht betroffen sind Geräte mit den Firmware-Versionen 4.x. Western Digital stellt ein Changelog [PDF] bereit.

Der Sicherheitsforscher hat ein weiteres Problem entdeckt, das einen nichtauthentifizierten Upload von Dateien ermöglicht. Der Fehler liegt demnach in der Datei /usr/local/modules/web/pages/jquery/uploader/multi_uploadify.php, die Entwickler hätten die PHP-Funktion gethostbyaddr() falsch verwendet. Auch dieses Problem soll mittlerweile behoben worden sein.