• IT-Karriere:
  • Services:

Festplatten: WD-My-Cloud-NAS-Geräte kommen mit Backdoor-Account

Wer ein privates NAS aufsetzt, verspricht sich meist mehr Kontrolle über persönliche Daten als in der Cloud. Kritische Sicherheitslücken in Western-Digital-Geräten ermöglichen jedoch Angreifern, sich mit einem Backdoor-Account einzuloggen oder beliebig Dateien hochzuladen.

Artikel veröffentlicht am ,
Die My-Cloud-NAS-Geräte von Western Digital müssen gepatcht werden.
Die My-Cloud-NAS-Geräte von Western Digital müssen gepatcht werden. (Bild: Western Digital/Amazon)

Einige NAS-Geräte für Heimanwender und KMU des bekannten Festplattenherstellers Western Digital werden mit einem Backdoor-Account an Kunden ausgeliefert. Der Zugang wurde mittlerweile über ein Update deaktiviert - Nutzer sollten die Geräte also dringend patchen, besonders wenn diese mit dem Internet verbunden sind.

Stellenmarkt
  1. msg DAVID GmbH, Braunschweig
  2. HUESKER Synthetic GmbH, Gescher

Der Bug wurde von James Bercegay von der Firma Gulftech gefunden und an Western Digtal gemeldet. Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba ist eine erfolgreiche Authentifizierung möglich. Nach Angaben von Bercegay ist das dlink im Benutzernamen nicht der einzige Hinweis auf den Routerhersteller, der auch NAS-Geräte produziert. Es soll "Referenzen zu Dateinamen und Dateiordnerstrukturen geben", die relativ eindeutig D-Link zuzuordnen seien.

Firmware mit dem D-Link DNS-320L geteilt

Tatsächlich soll seinen Aussagen zufolge das Gerät D-Link DNS-320L den gleichen Backdoor-Account aufgewiesen haben - einen Patch gibt es dort bereits seit Juli 2014 mit der Firmware-Version 1.0.6. Offenbar nutzen die Geräte in großen Teilen die gleiche Firmware. Nutzer des Western-Digital-Gerätes mussten länger warten, können aber die aktuelle Firmware-Version 2.30.174 nutzen, die den Account entfernt.

Betroffen sind die Geräte Mycloud, Mycloudmirror, My Cloud Gen 2, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100. Nicht betroffen sind Geräte mit den Firmware-Versionen 4.x. Western Digital stellt ein Changelog [PDF] bereit.

Der Sicherheitsforscher hat ein weiteres Problem entdeckt, das einen nichtauthentifizierten Upload von Dateien ermöglicht. Der Fehler liegt demnach in der Datei /usr/local/modules/web/pages/jquery/uploader/multi_uploadify.php, die Entwickler hätten die PHP-Funktion gethostbyaddr() falsch verwendet. Auch dieses Problem soll mittlerweile behoben worden sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 68,90€ (Vergleichspreis 82,71€)
  2. ab 195€ (sofort verfügbar) Bestpreis bei Geizhals
  3. (u. a. be quiet! Dark Base Pro 900 Rev. 2 für 199,90€ + 6,79€ Versand und Edifier Studio...

Apfelbrot 20. Jan 2018

Dein Selbstbau hat aber einige Nachteile. 1. Er kostet mehr. Außer es ist eine...

User_x 16. Jan 2018

langsam ist die nicht, im gegenteil. und was du als basteln siehst ist für mich...

hg (Golem.de) 16. Jan 2018

Wie es im Artikel steht: Version 4.x ist garnicht betroffen, "Nutzer des Western-Digital...

plutoniumsulfat 16. Jan 2018

"You're holding it wrong!"

dumdideidum 15. Jan 2018

Irgendwas stimmt da nicht im Text. Eine Firmware 2.30.174 gibt es nicht laut Firmware...


Folgen Sie uns
       


Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
CoD, Crysis, Dirt 5, Watch Dogs, WoW: Radeon-Raytracing kann auch schnell sein
CoD, Crysis, Dirt 5, Watch Dogs, WoW
Radeon-Raytracing kann auch schnell sein

Wer mit Raytracing zockt, hat je nach Titel mit einer Radeon RX 6800 statt einer Geforce RTX 3070 teilweise die besseren (Grafik-)Karten.
Ein Test von Marc Sauter


    RCEP: Warum China plötzlich auf Freihandel setzt
    RCEP
    Warum China plötzlich auf Freihandel setzt

    China und andere wichtige asiatische Herstellerländer von Elektronikprodukten haben ein Freihandelsabkommen geschlossen. Dessen Bedeutung geht weit über rein wirtschaftliche Fragen hinaus.
    Eine Analyse von Werner Pluta

    1. Berufungsverfahren in weiter Ferne Tesla wirbt weiter mit Autopilot
    2. Warntag BBK prüft Einführung des Cell Broadcast neben Warn-Apps
    3. Bundesverkehrsministerium Keine Abstriche beim geplanten Universaldienst

    Star Wars: Darth-Vader-Darsteller Dave Prowse ist tot
    Star Wars
    Darth-Vader-Darsteller Dave Prowse ist tot

    Er war einer der großen Stars der originalen Star-Wars-Trilogie und doch kaum jemandem bekannt. David Prowse ist im Alter von 85 Jahren gestorben.
    Ein Nachruf von Peter Osteried

    1. Spaceballs Möge der Saft mit euch sein
    2. The Mandalorian Erste Folge der zweiten Staffel ist online
    3. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf

      •  /