Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Western Digital: My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden

Das Einsteiger- NAS My Cloud steht seit anderthalb Jahren sperrangelweit offen. Exploits im Internet ermöglichen den passwortlosen Login als Administrator. Western Digital möchte nun Patches liefern.
/ Moritz Tremmel
8 Kommentare News folgen (öffnet im neuen Fenster)
Western Digitals My Cloud: Updates können auch mal länger dauern. (Bild: Justin Sullivan/Getty Images)
Western Digitals My Cloud: Updates können auch mal länger dauern. Bild: Justin Sullivan/Getty Images

Der Anmeldebildschirm von Western Digitals Einsteiger-NAS-Serie My Cloud kann einfach umgangen werden. Exploits, die einen Administratorzugang verschaffen, sind seit mehr als eineinhalb Jahren im Internet zu finden. Western Digital reagiert nun auf eine erneute Veröffentlichung mit der Ankündigung(öffnet im neuen Fenster) , ein Update bereitstellen zu wollen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Administrator (m/w/d) Develey Senf & Feinkost GmbH, Unterhaching (öffnet im neuen Fenster)
Senior Java Developer (m/w/d) nexnet GmbH, Berlin (öffnet im neuen Fenster)
Anwendungsprogammierer (m/w/d) Rico GmbH & Co. KG, Kirchheim unter Teck (öffnet im neuen Fenster)
Consultant (m/w/d) für den Public Sector SGB VIII Prosoz Herten GmbH, Herten (öffnet im neuen Fenster)
Azure Platform Engineer (w/m/d) SMF GmbH, Dortmund (öffnet im neuen Fenster)
IT-Revisor (m/w/d) Investitions- und Strukturbank Rheinland-Pfalz (ISB), Mainz (öffnet im neuen Fenster)
(Junior) Consultant SAP SD/Cax (m/w/d) Payment Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
IT Business Partner:in Stadtwerke Lübeck Gruppe, Lübeck (öffnet im neuen Fenster)

Remco Vermeulen meldete die Privilege-Escalation-Lücke bereits im April 2017 an Western Digital(öffnet im neuen Fenster) . Damit war er nicht der einzige Sicherheitsforscher, der die Schwachstelle entdeckte: Zenofex vom Projekt Exploitee.rs fand und meldete sie ebenfalls(öffnet im neuen Fenster) . Da Western Digital nicht auf die Sicherheitslücke reagierte, stellte Exploitee.rs sie auf der Defcon 25 vor. Erst als Remco Vermeulen eine CVE-Nummer beantragte (CVE-2018-17153) und die Lücke erneut veröffentlichte(öffnet im neuen Fenster) , reagierte Western Digital mit der Ankündigung von Updates in einem Blog-Eintrag(öffnet im neuen Fenster) .

Seit Anfang 2017 ist die Sicherheitslücke öffentlich bekannt und kann ausgenutzt werden. Wird die von Western Digital beworbene Funktion, My Cloud mit dem Internet zu verbinden, eingesetzt, um den Speicher von überall aus nutzen zu können, kann dieser auch von allen anderen Internetnutzern verwendet und Dateien ausgelesen werden.

Golem.de berichtete bereits am 6. März 2017 über die Sicherheitslücke und empfahl Besitzern von Western Digitals My Cloud, das Gerät vom Internet zu trennen. Auch zum jetzigen Zeitpunkt können die Geräte mit Informationen aus dem Internet übernommen werden. Exploitee.rs veröffentlichten sogar ein Modul für die Pentesting-Software Metasploit(öffnet im neuen Fenster) , mit dem die Angriffe automatisiert ausgespielt werden können.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Der Speichermedienhersteller hat in der Security-Szene keinen guten Ruf. Er wurde auf der Sicherheitskonferenz Defcon mit dem Pwnie-Award in der Kategorie "Schlechteste Hersteller-Reaktion" ausgezeichnet. Bereits Anfang des Jahres wurde bekannt, dass die Western Digitals My Cloud einen Backdoor-Account enthält . Mit dem Nutzernamen mydlinkBRionyg und dem Passwort abc12345cba war ein Login möglich. Die Hintertür wurde durch ein Update beseitigt. Zuvor war der gleiche Backdoor-Account bei dem Gerät D-Link DNS-320L gefunden worden, dass sich wohl die Firmware mit der My-Cloud-Serie teilt.

Zur Startseite 8 Kommentare

Relevante Themen

Technik/HardwarePC-KomponentenCloudSecuritySicherheitslückeUpdates & PatchesCybercrimeDatensicherheitPC-Hardware