• IT-Karriere:
  • Services:

Western Digital My Cloud: NAS-Gerät macht jeden zum Admin

Western Digital hat in der Hackerszene nicht den Ruf, Schwachstellen schnell zu beseitigen. Sicherheitslücken, die den Login-Vorgang und die Ausführung von Code betreffen, wurden daher ohne Responsible Disclosure veröffentlicht - damit die Nutzer handeln können.

Artikel veröffentlicht am ,
NAS mit Vase (Stillleben)
NAS mit Vase (Stillleben) (Bild: Western Digital)

Zahlreiche NAS-Geräte von Western Digital sind offenbar für Angriffe aus der Ferne verwundbar, wie Zenofex vom Projekt Exploitee.rs schreibt. Während der Untersuchung hatte Western Digital einen Bug gepatcht, aber dabei eine weitere Schwachstelle geöffnet.

Stellenmarkt
  1. Continental AG, Nürnberg
  2. HAUS & GRUNDEIGENTUM Service GmbH, Hannover

Ursprünglich wurde der Login-Status nur durch ein vom Nutzer bereitgestelltes Cookie geprüft. Nutzer hätten hier die entsprechenden Argumente eintragen müssen. Mit dem Argument "isAdmin=1" hätten sie sich dabei ohne jede weitere Prüfung selbst Administratorenrechte zuschreiben können. Diese Schwachstelle wurde nach Angaben von Zenofex im Laufe der Untersuchungen geschlossen. Genaue Angaben zur betroffenen Firmware-Version gibt es in dem Post nicht.

Zweiter Fehler nicht gepatcht

Ein weiterer Fehler ist nach wie vor in der Firmware präsent und wurde bislang nicht behoben. Das Exploitee.rs-Team hat nach eigenen Angaben den Prozess des Responsible Disclosure nicht eingehalten und begründet das mit mangelhaftem Verhalten des Herstellers in der Vergangenheit. So habe Western Digital bei den vergangenen Pwnie-Awards einen Preis in der Kategorie "Schlechteste Hersteller-Reaktion" bekommen. Daher wolle man die Informationen so schnell wie möglich veröffentlichen, damit Nutzer ihre eigenen Geräte schützen können.

Der zweite Fehler betrifft eine inkorrekte Implementierung von PHP, insbesondere der Funktion "wto_check()", mit der eigentlich geprüft werden soll, ob ein Nutzer korrekt eingeloggt ist oder nicht. Weil aber die Funktion "escapeshellcmd()" falsch benutzt wird, kann der Nutzer einfach neue Argumente zu dem geprüften String hinzufügen und so erneut ein unautorisiertes Login vornehmen.

Weitere Fehler in der Implementierung der verwendeten CGI-Skripte ermöglichen einem Angreifer zudem, Befehle einzuschleusen und mit Root-Rechten auszuführen. Von den Sicherheitslücken betroffen sind nach Angaben von Exploitee.rs die Produkte My Cloud, My Cloud Gen 2, My Cloud Mirror, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100. Nutzer sollten die Geräte nicht mehr mit dem Internet verbinden, bis die Probleme behoben sind. Wir haben Western Digital wegen einer Stellungnahme kontaktiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Apple Macbook Air (2020) im Test
    Weg mit der defekten Tastatur!
  2. Sicherheitslücke
    28 Antivirenprogramme konnten sich selbst zerstören
  3. Gesundheitsämter
    Landkreise fordern verpflichtende Corona-App
  4. Chipsätze
    Broadcom bietet der EU einen Deal an
  5. Playstation 4
    Neue Termine für The Last of Us 2 und Ghost of Tsushima
Anzeige
Hardware-Angebote
Kommentarübersicht
Custom image
StunMan 07. Mär 2017

Wie gut, dass ich für die DL2100er mir einfach ein custom image gemacht habe...

Re: Es hat schon seine Gründe...
nv1t 07. Mär 2017

Das schoene an der CSRF ist, dass es nicht auf dich zugeschnitten sein muss. Das geht...

Re: ist seit Mitte Dezember bereits gepatcht
nv1t 07. Mär 2017

Ich stimme zu, dass wenn der Authentication Bug gefixt ist UND die 13 pre auth RCEs die...

Re: Wo kriegen die ihre Entwickler her?
Anonymer Nutzer 07. Mär 2017

Schau dir mal die Screens und die Software in den Autos an. Bis auf wenige Ausnahmen in...

Re: "damit Nutzer handeln können"
nv1t 07. Mär 2017

Das reicht leider nicht aus. Die Luecken koennen ueber CSRF ausgenutzt werden, was...

Folgen Sie uns
       
DLR Istar vorgestellt - Bericht

Die Falcon 2000LX des DLR hat weltweit einzigartige Eigenschaft: sie kann so tun, als wäre sie ein anderes Flugzeug.

DLR Istar vorgestellt - Bericht Video aufrufen
Lego
Lego Technic und Mindstorms: Basteln mit Klemmbausteinen
Lego Technic und Mindstorms
Basteln mit Klemmbausteinen

Wer derzeit nach einer Beschäftigung sucht, kann leicht Tage und Wochen mit Lego füllen - und zielgerichtet mit Lego Technik und Mindstorms coole Projekte entwickeln. Eine Übersicht.
Von Jan Rähm

  1. ISS Lego bringt Bausatz der Internationalen Raumstation
  2. Anzeige LEGO Technic Kranwagen bringt doppelten Bauspaß
  3. Anzeige Der LEGO-Technic-Bagger macht den Schreibtisch zur Baugrube
Homeoffice
Golem.de-Hobbys fürs Social Distancing: Screenshots vom Sport
Golem.de-Hobbys fürs Social Distancing
Screenshots vom Sport

Bis zu 2.000 Fotos mit der Gopro mache ich bei jedem Lauf, jeder Wanderung, jeder Radfahrt. Seit der Coronakrise kommt gründliche Vorbereitung dazu.
Von Peter Steinlechner

  1. Golem.de-Hobbys fürs Social Distancing Der Fußboden ist Lava
  2. Chip-Speedtest Festnetzanbieter langsamer als angegeben, aber verlässlich
  3. Homeoffice wegen Corona Von der IT-Branche lernen
Free-to-play
Free to Play: Gratisspiele für jeden Geschmack
Free to Play
Gratisspiele für jeden Geschmack

Gute Games sind teuer? Von wegen! Golem.de stellt kostenlose PC- und Mobilspiele vor. Neben Knallern wie Warzone gibt's echte Geheimtipps.
Von Rainer Sigl

  1. Free-to-Play Mehr spielen - aber nicht mehr bezahlen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /