Western Digital: My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden

Das Einsteiger-NAS My Cloud steht seit anderthalb Jahren sperrangelweit offen. Exploits im Internet ermöglichen den passwortlosen Login als Administrator. Western Digital möchte nun Patches liefern.

Artikel veröffentlicht am , Moritz Tremmel
Western Digitals My Cloud: Updates können auch mal länger dauern.
Western Digitals My Cloud: Updates können auch mal länger dauern. (Bild: Justin Sullivan/Getty Images)

Der Anmeldebildschirm von Western Digitals Einsteiger-NAS-Serie My Cloud kann einfach umgangen werden. Exploits, die einen Administratorzugang verschaffen, sind seit mehr als eineinhalb Jahren im Internet zu finden. Western Digital reagiert nun auf eine erneute Veröffentlichung mit der Ankündigung, ein Update bereitstellen zu wollen.

Stellenmarkt
  1. Lead Systems Architect Steer-by-Wire (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. (Junior) Application Manager Lidl Warenwirtschaftssystem International (m/w/d)
    Schwarz IT KG, Neckarsulm
Detailsuche

Remco Vermeulen meldete die Privilege-Escalation-Lücke bereits im April 2017 an Western Digital. Damit war er nicht der einzige Sicherheitsforscher, der die Schwachstelle entdeckte: Zenofex vom Projekt Exploitee.rs fand und meldete sie ebenfalls. Da Western Digital nicht auf die Sicherheitslücke reagierte, stellte Exploitee.rs sie auf der Defcon 25 vor. Erst als Remco Vermeulen eine CVE-Nummer beantragte (CVE-2018-17153) und die Lücke erneut veröffentlichte, reagierte Western Digital mit der Ankündigung von Updates in einem Blog-Eintrag.

Seit Anfang 2017 ist die Sicherheitslücke öffentlich bekannt und kann ausgenutzt werden. Wird die von Western Digital beworbene Funktion, My Cloud mit dem Internet zu verbinden, eingesetzt, um den Speicher von überall aus nutzen zu können, kann dieser auch von allen anderen Internetnutzern verwendet und Dateien ausgelesen werden.

Golem.de berichtete bereits am 6. März 2017 über die Sicherheitslücke und empfahl Besitzern von Western Digitals My Cloud, das Gerät vom Internet zu trennen. Auch zum jetzigen Zeitpunkt können die Geräte mit Informationen aus dem Internet übernommen werden. Exploitee.rs veröffentlichten sogar ein Modul für die Pentesting-Software Metasploit, mit dem die Angriffe automatisiert ausgespielt werden können.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    27.-29.09.2022, virtuell
  2. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    07.-09.11.2022, virtuell
Weitere IT-Trainings

Der Speichermedienhersteller hat in der Security-Szene keinen guten Ruf. Er wurde auf der Sicherheitskonferenz Defcon mit dem Pwnie-Award in der Kategorie "Schlechteste Hersteller-Reaktion" ausgezeichnet. Bereits Anfang des Jahres wurde bekannt, dass die Western Digitals My Cloud einen Backdoor-Account enthält. Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba war ein Login möglich. Die Hintertür wurde durch ein Update beseitigt. Zuvor war der gleiche Backdoor-Account bei dem Gerät D-Link DNS-320L gefunden worden, dass sich wohl die Firmware mit der My-Cloud-Serie teilt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ryzen 7950X/7700X im Test
Brachialer Beginn einer neuen AMD-Ära

Nie waren die Ryzen-CPUs besser: extrem schnell, DDR5-Speicher, PCIe Gen5, integrierte Grafik. Der (thermische) Preis dafür ist jedoch hoch.
Ein Test von Marc Sauter und Martin Böckmann

Ryzen 7950X/7700X im Test: Brachialer Beginn einer neuen AMD-Ära
Artikel
  1. US-Whistleblower: Putin verleiht Snowden die russische Staatsbürgerschaft
    US-Whistleblower
    Putin verleiht Snowden die russische Staatsbürgerschaft

    US-Whistleblower Edward Snowden ist nun auch russischer Staatsbürger. Für den Krieg gegen die Ukraine kann er aber vorerst nicht eingezogen werden.

  2. Rechenzentren: IT des Bundes ignoriert eigene umweltpolitische Vorgaben
    Rechenzentren
    IT des Bundes ignoriert eigene umweltpolitische Vorgaben

    Bei 184 Rechenzentren und einem hohen Einkaufsvolumen für Technik hat die Bundes-IT eine große Bedeutung. Doch die Abwärme und erneuerbare Energien werden viel zu wenig genutzt.

  3. Revision CFI 1202A: Die neue PS5 hat einen 6-nm-Chip
    Revision CFI 1202A
    Die neue PS5 hat einen 6-nm-Chip

    Sony hat damit begonnen, eine neue Revision der PS5 auszuliefern. Sowohl für Kunden als auch für den Hersteller bietet das Modell Vorteile.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Verkauf bei MMS • CyberWeek: PC-Zubehör, Werkzeug & Co. • Günstig wie nie: Gigabyte RX 6900 XT 864,15€, MSI RTX 3090 1.159€, Fractal Design RGB Tower 129,90€ • MindStar (Palit RTX 3070 549€) • Thrustmaster T300 RS GT 299,99€ • Alternate (iPad Air (2022) 256GB 949,90€) [Werbung]
    •  /