Abo
  • Services:

Western Digital My Cloud: NAS-Gerät macht jeden zum Admin

Western Digital hat in der Hackerszene nicht den Ruf, Schwachstellen schnell zu beseitigen. Sicherheitslücken, die den Login-Vorgang und die Ausführung von Code betreffen, wurden daher ohne Responsible Disclosure veröffentlicht - damit die Nutzer handeln können.

Artikel veröffentlicht am ,
NAS mit Vase (Stillleben)
NAS mit Vase (Stillleben) (Bild: Western Digital)

Zahlreiche NAS-Geräte von Western Digital sind offenbar für Angriffe aus der Ferne verwundbar, wie Zenofex vom Projekt Exploitee.rs schreibt. Während der Untersuchung hatte Western Digital einen Bug gepatcht, aber dabei eine weitere Schwachstelle geöffnet.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. BWI GmbH, Nürnberg, München, Rheinbach

Ursprünglich wurde der Login-Status nur durch ein vom Nutzer bereitgestelltes Cookie geprüft. Nutzer hätten hier die entsprechenden Argumente eintragen müssen. Mit dem Argument "isAdmin=1" hätten sie sich dabei ohne jede weitere Prüfung selbst Administratorenrechte zuschreiben können. Diese Schwachstelle wurde nach Angaben von Zenofex im Laufe der Untersuchungen geschlossen. Genaue Angaben zur betroffenen Firmware-Version gibt es in dem Post nicht.

Zweiter Fehler nicht gepatcht

Ein weiterer Fehler ist nach wie vor in der Firmware präsent und wurde bislang nicht behoben. Das Exploitee.rs-Team hat nach eigenen Angaben den Prozess des Responsible Disclosure nicht eingehalten und begründet das mit mangelhaftem Verhalten des Herstellers in der Vergangenheit. So habe Western Digital bei den vergangenen Pwnie-Awards einen Preis in der Kategorie "Schlechteste Hersteller-Reaktion" bekommen. Daher wolle man die Informationen so schnell wie möglich veröffentlichen, damit Nutzer ihre eigenen Geräte schützen können.

Der zweite Fehler betrifft eine inkorrekte Implementierung von PHP, insbesondere der Funktion "wto_check()", mit der eigentlich geprüft werden soll, ob ein Nutzer korrekt eingeloggt ist oder nicht. Weil aber die Funktion "escapeshellcmd()" falsch benutzt wird, kann der Nutzer einfach neue Argumente zu dem geprüften String hinzufügen und so erneut ein unautorisiertes Login vornehmen.

Weitere Fehler in der Implementierung der verwendeten CGI-Skripte ermöglichen einem Angreifer zudem, Befehle einzuschleusen und mit Root-Rechten auszuführen. Von den Sicherheitslücken betroffen sind nach Angaben von Exploitee.rs die Produkte My Cloud, My Cloud Gen 2, My Cloud Mirror, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100. Nutzer sollten die Geräte nicht mehr mit dem Internet verbinden, bis die Probleme behoben sind. Wir haben Western Digital wegen einer Stellungnahme kontaktiert.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 399€ (Wert der Spiele rund 212€)
  3. 58,99€
  4. 169,90€ + Versand

StunMan 07. Mär 2017

Wie gut, dass ich für die DL2100er mir einfach ein custom image gemacht habe...

nv1t 07. Mär 2017

Das schoene an der CSRF ist, dass es nicht auf dich zugeschnitten sein muss. Das geht...

nv1t 07. Mär 2017

Ich stimme zu, dass wenn der Authentication Bug gefixt ist UND die 13 pre auth RCEs die...

Anonymer Nutzer 07. Mär 2017

Schau dir mal die Screens und die Software in den Autos an. Bis auf wenige Ausnahmen in...

nv1t 07. Mär 2017

Das reicht leider nicht aus. Die Luecken koennen ueber CSRF ausgenutzt werden, was...


Folgen Sie uns
       


Anno 1800 - Fazit

Die wunderbare Welt von Anno 1800 schickt Spieler auf Inseln, auf denen sie nach und nach ein riesiges Imperium aufbauen können.

Anno 1800 - Fazit Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
Jobporträt
Wenn die Software für den Anwalt kurzen Prozess macht

IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
Von Maja Hoock

  1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  3. Recruiting Wenn die KI passende Mitarbeiter findet

    •  /