Festplatten: WD-My-Cloud-NAS-Geräte kommen mit Backdoor-Account

Wer ein privates NAS aufsetzt, verspricht sich meist mehr Kontrolle über persönliche Daten als in der Cloud. Kritische Sicherheitslücken in Western-Digital-Geräten ermöglichen jedoch Angreifern, sich mit einem Backdoor-Account einzuloggen oder beliebig Dateien hochzuladen.

Artikel veröffentlicht am ,
Die My-Cloud-NAS-Geräte von Western Digital müssen gepatcht werden.
Die My-Cloud-NAS-Geräte von Western Digital müssen gepatcht werden. (Bild: Western Digital/Amazon)

Einige NAS-Geräte für Heimanwender und KMU des bekannten Festplattenherstellers Western Digital werden mit einem Backdoor-Account an Kunden ausgeliefert. Der Zugang wurde mittlerweile über ein Update deaktiviert - Nutzer sollten die Geräte also dringend patchen, besonders wenn diese mit dem Internet verbunden sind.

Stellenmarkt
  1. Consultant SAP HCM (m/w/d)
    über duerenhoff GmbH, Großraum Bielefeld (Home-Office)
  2. IT-Administrator (m/w/d)
    Pinion GmbH, Denkendorf
Detailsuche

Der Bug wurde von James Bercegay von der Firma Gulftech gefunden und an Western Digtal gemeldet. Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba ist eine erfolgreiche Authentifizierung möglich. Nach Angaben von Bercegay ist das dlink im Benutzernamen nicht der einzige Hinweis auf den Routerhersteller, der auch NAS-Geräte produziert. Es soll "Referenzen zu Dateinamen und Dateiordnerstrukturen geben", die relativ eindeutig D-Link zuzuordnen seien.

Firmware mit dem D-Link DNS-320L geteilt

Tatsächlich soll seinen Aussagen zufolge das Gerät D-Link DNS-320L den gleichen Backdoor-Account aufgewiesen haben - einen Patch gibt es dort bereits seit Juli 2014 mit der Firmware-Version 1.0.6. Offenbar nutzen die Geräte in großen Teilen die gleiche Firmware. Nutzer des Western-Digital-Gerätes mussten länger warten, können aber die aktuelle Firmware-Version 2.30.174 nutzen, die den Account entfernt.

Betroffen sind die Geräte Mycloud, Mycloudmirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100. Nicht betroffen sind Geräte mit den Firmware-Versionen 4.x. Western Digital stellt ein Changelog [PDF] bereit.

Golem Karrierewelt
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    21.06.2022, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.06.2022, Virtuell
Weitere IT-Trainings

Der Sicherheitsforscher hat ein weiteres Problem entdeckt, das einen nichtauthentifizierten Upload von Dateien ermöglicht. Der Fehler liegt demnach in der Datei /usr/local/modules/web/pages/jquery/uploader/multi_uploadify.php, die Entwickler hätten die PHP-Funktion gethostbyaddr() falsch verwendet. Auch dieses Problem soll mittlerweile behoben worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Apfelbrot 20. Jan 2018

Dein Selbstbau hat aber einige Nachteile. 1. Er kostet mehr. Außer es ist eine...

User_x 16. Jan 2018

langsam ist die nicht, im gegenteil. und was du als basteln siehst ist für mich...

hg (Golem.de) 16. Jan 2018

Wie es im Artikel steht: Version 4.x ist garnicht betroffen, "Nutzer des Western-Digital...

plutoniumsulfat 16. Jan 2018

"You're holding it wrong!"



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Retro Computing: Lotus 1-2-3 auf Linux portiert
    Retro Computing
    Lotus 1-2-3 auf Linux portiert

    Das Tape-Archiv eines BBS mit Schwarzkopien aus den 90ern lädt Google-Entwickler Tavis Ormandy zum Retro-Hacking ein.

  2. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

  3. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /