Abo
  • Services:

Festplatten: WD-My-Cloud-NAS-Geräte kommen mit Backdoor-Account

Wer ein privates NAS aufsetzt, verspricht sich meist mehr Kontrolle über persönliche Daten als in der Cloud. Kritische Sicherheitslücken in Western-Digital-Geräten ermöglichen jedoch Angreifern, sich mit einem Backdoor-Account einzuloggen oder beliebig Dateien hochzuladen.

Artikel veröffentlicht am ,
Die My-Cloud-NAS-Geräte von Western Digital müssen gepatcht werden.
Die My-Cloud-NAS-Geräte von Western Digital müssen gepatcht werden. (Bild: Western Digital/Amazon)

Einige NAS-Geräte für Heimanwender und KMU des bekannten Festplattenherstellers Western Digital werden mit einem Backdoor-Account an Kunden ausgeliefert. Der Zugang wurde mittlerweile über ein Update deaktiviert - Nutzer sollten die Geräte also dringend patchen, besonders wenn diese mit dem Internet verbunden sind.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Der Bug wurde von James Bercegay von der Firma Gulftech gefunden und an Western Digtal gemeldet. Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba ist eine erfolgreiche Authentifizierung möglich. Nach Angaben von Bercegay ist das dlink im Benutzernamen nicht der einzige Hinweis auf den Routerhersteller, der auch NAS-Geräte produziert. Es soll "Referenzen zu Dateinamen und Dateiordnerstrukturen geben", die relativ eindeutig D-Link zuzuordnen seien.

Firmware mit dem D-Link DNS-320L geteilt

Tatsächlich soll seinen Aussagen zufolge das Gerät D-Link DNS-320L den gleichen Backdoor-Account aufgewiesen haben - einen Patch gibt es dort bereits seit Juli 2014 mit der Firmware-Version 1.0.6. Offenbar nutzen die Geräte in großen Teilen die gleiche Firmware. Nutzer des Western-Digital-Gerätes mussten länger warten, können aber die aktuelle Firmware-Version 2.30.174 nutzen, die den Account entfernt.

Betroffen sind die Geräte Mycloud, Mycloudmirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100. Nicht betroffen sind Geräte mit den Firmware-Versionen 4.x. Western Digital stellt ein Changelog [PDF] bereit.

Der Sicherheitsforscher hat ein weiteres Problem entdeckt, das einen nichtauthentifizierten Upload von Dateien ermöglicht. Der Fehler liegt demnach in der Datei /usr/local/modules/web/pages/jquery/uploader/multi_uploadify.php, die Entwickler hätten die PHP-Funktion gethostbyaddr() falsch verwendet. Auch dieses Problem soll mittlerweile behoben worden sein.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Apfelbrot 20. Jan 2018

Dein Selbstbau hat aber einige Nachteile. 1. Er kostet mehr. Außer es ist eine...

User_x 16. Jan 2018

langsam ist die nicht, im gegenteil. und was du als basteln siehst ist für mich...

hg (Golem.de) 16. Jan 2018

Wie es im Artikel steht: Version 4.x ist garnicht betroffen, "Nutzer des Western-Digital...

plutoniumsulfat 16. Jan 2018

"You're holding it wrong!"

dumdideidum 15. Jan 2018

Irgendwas stimmt da nicht im Text. Eine Firmware 2.30.174 gibt es nicht laut Firmware...


Folgen Sie uns
       


Playstation Classic im Vergleichstest - Golem retro_ Spezial

Sonys Mini-Konsole Playstation Classic ist knuffig. In unserem Golem-retro_-Spezial beleuchten wir die Spieleauswahl und Hardware im Detail.

Playstation Classic im Vergleichstest - Golem retro_ Spezial Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

    •  /