Western Digital: My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden

Das Einsteiger-NAS My Cloud steht seit anderthalb Jahren sperrangelweit offen. Exploits im Internet ermöglichen den passwortlosen Login als Administrator. Western Digital möchte nun Patches liefern.

Artikel veröffentlicht am , Moritz Tremmel
Western Digitals My Cloud: Updates können auch mal länger dauern.
Western Digitals My Cloud: Updates können auch mal länger dauern. (Bild: Justin Sullivan/Getty Images)

Der Anmeldebildschirm von Western Digitals Einsteiger-NAS-Serie My Cloud kann einfach umgangen werden. Exploits, die einen Administratorzugang verschaffen, sind seit mehr als eineinhalb Jahren im Internet zu finden. Western Digital reagiert nun auf eine erneute Veröffentlichung mit der Ankündigung, ein Update bereitstellen zu wollen.

Stellenmarkt
  1. Software Entwickler* LabView
    LayTec AG, Berlin
  2. Senior Android Entwickler (m/w/d)
    intive GmbH, München, Regensburg
Detailsuche

Remco Vermeulen meldete die Privilege-Escalation-Lücke bereits im April 2017 an Western Digital. Damit war er nicht der einzige Sicherheitsforscher, der die Schwachstelle entdeckte: Zenofex vom Projekt Exploitee.rs fand und meldete sie ebenfalls. Da Western Digital nicht auf die Sicherheitslücke reagierte, stellte Exploitee.rs sie auf der Defcon 25 vor. Erst als Remco Vermeulen eine CVE-Nummer beantragte (CVE-2018-17153) und die Lücke erneut veröffentlichte, reagierte Western Digital mit der Ankündigung von Updates in einem Blog-Eintrag.

Seit Anfang 2017 ist die Sicherheitslücke öffentlich bekannt und kann ausgenutzt werden. Wird die von Western Digital beworbene Funktion, My Cloud mit dem Internet zu verbinden, eingesetzt, um den Speicher von überall aus nutzen zu können, kann dieser auch von allen anderen Internetnutzern verwendet und Dateien ausgelesen werden.

Golem.de berichtete bereits am 6. März 2017 über die Sicherheitslücke und empfahl Besitzern von Western Digitals My Cloud, das Gerät vom Internet zu trennen. Auch zum jetzigen Zeitpunkt können die Geräte mit Informationen aus dem Internet übernommen werden. Exploitee.rs veröffentlichten sogar ein Modul für die Pentesting-Software Metasploit, mit dem die Angriffe automatisiert ausgespielt werden können.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Der Speichermedienhersteller hat in der Security-Szene keinen guten Ruf. Er wurde auf der Sicherheitskonferenz Defcon mit dem Pwnie-Award in der Kategorie "Schlechteste Hersteller-Reaktion" ausgezeichnet. Bereits Anfang des Jahres wurde bekannt, dass die Western Digitals My Cloud einen Backdoor-Account enthält. Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba war ein Login möglich. Die Hintertür wurde durch ein Update beseitigt. Zuvor war der gleiche Backdoor-Account bei dem Gerät D-Link DNS-320L gefunden worden, dass sich wohl die Firmware mit der My-Cloud-Serie teilt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
In-Ears
Apple stellt Airpods 3 vor

Apple hat auf seinem Event die Airpods 3 vorgestellt, die den Airpods 3 Pro sehr ähnlich sehen - allerdings ohne Geräuschunterdrückung.

In-Ears: Apple stellt Airpods 3 vor
Artikel
  1. 5 US-Dollar: Apple bietet günstigeres Music-Abo an
    5 US-Dollar
    Apple bietet günstigeres Music-Abo an

    Apple hat ein preiswerteres Apple-Music-Abo angekündigt, das aber nur mit dem Sprachassistenten Siri gesteuert werden kann.

  2. Transatel: Bundesnetzagentur zwingt Telefónica zu Verhandlungen
    Transatel
    Bundesnetzagentur zwingt Telefónica zu Verhandlungen

    Telefónica darf einen Mobilfunkprovider (MVNO) aus Frankreich nicht behindern.

  3. Irische Datenschutzbehörde: Max Schrems soll Dokument von seiner Webseite nehmen
    Irische Datenschutzbehörde
    Max Schrems soll Dokument von seiner Webseite nehmen

    Mit einem Trick umgeht Facebook die DSGVO. Die irische Datenschutzbehörde findet das okay, möchte aber nicht, dass Noyb dies öffentlich macht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
    •  /