Abo
  • Services:

Western Digital: My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden

Das Einsteiger-NAS My Cloud steht seit anderthalb Jahren sperrangelweit offen. Exploits im Internet ermöglichen den passwortlosen Login als Administrator. Western Digital möchte nun Patches liefern.

Artikel veröffentlicht am , Moritz Tremmel
Western Digitals My Cloud: Updates können auch mal länger dauern.
Western Digitals My Cloud: Updates können auch mal länger dauern. (Bild: Justin Sullivan/Getty Images)

Der Anmeldebildschirm von Western Digitals Einsteiger-NAS-Serie My Cloud kann einfach umgangen werden. Exploits, die einen Administratorzugang verschaffen, sind seit mehr als eineinhalb Jahren im Internet zu finden. Western Digital reagiert nun auf eine erneute Veröffentlichung mit der Ankündigung, ein Update bereitstellen zu wollen.

Stellenmarkt
  1. SCHOTT AG, Mainz
  2. TGW Software Services GmbH, Regensburg, Teunz

Remco Vermeulen meldete die Privilege-Escalation-Lücke bereits im April 2017 an Western Digital. Damit war er nicht der einzige Sicherheitsforscher, der die Schwachstelle entdeckte: Zenofex vom Projekt Exploitee.rs fand und meldete sie ebenfalls. Da Western Digital nicht auf die Sicherheitslücke reagierte, stellte Exploitee.rs sie auf der Defcon 25 vor. Erst als Remco Vermeulen eine CVE-Nummer beantragte (CVE-2018-17153) und die Lücke erneut veröffentlichte, reagierte Western Digital mit der Ankündigung von Updates in einem Blog-Eintrag.

Seit Anfang 2017 ist die Sicherheitslücke öffentlich bekannt und kann ausgenutzt werden. Wird die von Western Digital beworbene Funktion, My Cloud mit dem Internet zu verbinden, eingesetzt, um den Speicher von überall aus nutzen zu können, kann dieser auch von allen anderen Internetnutzern verwendet und Dateien ausgelesen werden.

Golem.de berichtete bereits am 6. März 2017 über die Sicherheitslücke und empfahl Besitzern von Western Digitals My Cloud, das Gerät vom Internet zu trennen. Auch zum jetzigen Zeitpunkt können die Geräte mit Informationen aus dem Internet übernommen werden. Exploitee.rs veröffentlichten sogar ein Modul für die Pentesting-Software Metasploit, mit dem die Angriffe automatisiert ausgespielt werden können.

Der Speichermedienhersteller hat in der Security-Szene keinen guten Ruf. Er wurde auf der Sicherheitskonferenz Defcon mit dem Pwnie-Award in der Kategorie "Schlechteste Hersteller-Reaktion" ausgezeichnet. Bereits Anfang des Jahres wurde bekannt, dass die Western Digitals My Cloud einen Backdoor-Account enthält. Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba war ein Login möglich. Die Hintertür wurde durch ein Update beseitigt. Zuvor war der gleiche Backdoor-Account bei dem Gerät D-Link DNS-320L gefunden worden, dass sich wohl die Firmware mit der My-Cloud-Serie teilt.



Anzeige
Top-Angebote
  1. 249,00€
  2. 249,00€
  3. 264,00€

Dave-RockZ 23. Sep 2018 / Themenstart

Synology Disk Station Manager (DSM) 6.0+ kann installiert werden. Ist dies eine Lösung...

wonoscho 20. Sep 2018 / Themenstart

Ist wie beim PKW-Service. Manche Hobby-Autoschrauber reparieren ihre Bremsen selbst. Aber...

Kommentieren


Folgen Sie uns
       


Google Pixel 3 und Pixel 3 XL - Hands on

Google hat die neuen Pixel-Smartphones vorgestellt. Das Pixel 3 und das Pixel 3 XL haben vor allem Verbesserungen bei den Kamerafunktionen erhalten. Anfang November kommen beide Geräte zu Preisen ab 850 Euro auf den Markt.

Google Pixel 3 und Pixel 3 XL - Hands on Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Android Google-Apps könnten Hersteller bis zu 40 US-Dollar kosten
  2. Google Pixel-Besitzer beklagen nicht abgespeicherte Fotos
  3. Dragonfly Google schweigt zu China-Plänen

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

    •  /