Abo
  • Services:

Western Digital: My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden

Das Einsteiger-NAS My Cloud steht seit anderthalb Jahren sperrangelweit offen. Exploits im Internet ermöglichen den passwortlosen Login als Administrator. Western Digital möchte nun Patches liefern.

Artikel veröffentlicht am , Moritz Tremmel
Western Digitals My Cloud: Updates können auch mal länger dauern.
Western Digitals My Cloud: Updates können auch mal länger dauern. (Bild: Justin Sullivan/Getty Images)

Der Anmeldebildschirm von Western Digitals Einsteiger-NAS-Serie My Cloud kann einfach umgangen werden. Exploits, die einen Administratorzugang verschaffen, sind seit mehr als eineinhalb Jahren im Internet zu finden. Western Digital reagiert nun auf eine erneute Veröffentlichung mit der Ankündigung, ein Update bereitstellen zu wollen.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Remco Vermeulen meldete die Privilege-Escalation-Lücke bereits im April 2017 an Western Digital. Damit war er nicht der einzige Sicherheitsforscher, der die Schwachstelle entdeckte: Zenofex vom Projekt Exploitee.rs fand und meldete sie ebenfalls. Da Western Digital nicht auf die Sicherheitslücke reagierte, stellte Exploitee.rs sie auf der Defcon 25 vor. Erst als Remco Vermeulen eine CVE-Nummer beantragte (CVE-2018-17153) und die Lücke erneut veröffentlichte, reagierte Western Digital mit der Ankündigung von Updates in einem Blog-Eintrag.

Seit Anfang 2017 ist die Sicherheitslücke öffentlich bekannt und kann ausgenutzt werden. Wird die von Western Digital beworbene Funktion, My Cloud mit dem Internet zu verbinden, eingesetzt, um den Speicher von überall aus nutzen zu können, kann dieser auch von allen anderen Internetnutzern verwendet und Dateien ausgelesen werden.

Golem.de berichtete bereits am 6. März 2017 über die Sicherheitslücke und empfahl Besitzern von Western Digitals My Cloud, das Gerät vom Internet zu trennen. Auch zum jetzigen Zeitpunkt können die Geräte mit Informationen aus dem Internet übernommen werden. Exploitee.rs veröffentlichten sogar ein Modul für die Pentesting-Software Metasploit, mit dem die Angriffe automatisiert ausgespielt werden können.

Der Speichermedienhersteller hat in der Security-Szene keinen guten Ruf. Er wurde auf der Sicherheitskonferenz Defcon mit dem Pwnie-Award in der Kategorie "Schlechteste Hersteller-Reaktion" ausgezeichnet. Bereits Anfang des Jahres wurde bekannt, dass die Western Digitals My Cloud einen Backdoor-Account enthält. Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba war ein Login möglich. Die Hintertür wurde durch ein Update beseitigt. Zuvor war der gleiche Backdoor-Account bei dem Gerät D-Link DNS-320L gefunden worden, dass sich wohl die Firmware mit der My-Cloud-Serie teilt.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)

Dave-RockZ 23. Sep 2018

Synology Disk Station Manager (DSM) 6.0+ kann installiert werden. Ist dies eine Lösung...

wonoscho 20. Sep 2018

Ist wie beim PKW-Service. Manche Hobby-Autoschrauber reparieren ihre Bremsen selbst. Aber...


Folgen Sie uns
       


Nubia X - Hands on (CES 2019)

Das Nubia X hat nicht einen, sondern gleich zwei Bildschirme. Wie der Hersteller die Dual-Screen-Lösung umgesetzt hat, haben wir uns auf der CES 2019 angeschaut.

Nubia X - Hands on (CES 2019) Video aufrufen
Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

IT-Jobs: Ein Jahr als Freelancer
IT-Jobs
Ein Jahr als Freelancer

Sicher träumen nicht wenige festangestellte Entwickler, Programmierer und andere ITler davon, sich selbstständig zu machen. Unser Autor hat vor einem Jahr den Schritt ins Vollzeit-Freelancertum gewagt und bilanziert: Vieles an der Selbstständigkeit ist gut, aber nicht alles. Und: Die Freiheit des Freelancers ist relativ.
Ein Erfahrungsbericht von Marvin Engel

  1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
  2. IT Frauen, die programmieren und Bier trinken
  3. Software-Entwickler CDU will Online-Weiterbildung à la Netflix

Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

    •  /