Western Digital My Cloud: NAS-Gerät macht jeden zum Admin

Western Digital hat in der Hackerszene nicht den Ruf, Schwachstellen schnell zu beseitigen. Sicherheitslücken, die den Login-Vorgang und die Ausführung von Code betreffen, wurden daher ohne Responsible Disclosure veröffentlicht - damit die Nutzer handeln können.

Artikel veröffentlicht am ,
NAS mit Vase (Stillleben)
NAS mit Vase (Stillleben) (Bild: Western Digital)

Zahlreiche NAS-Geräte von Western Digital sind offenbar für Angriffe aus der Ferne verwundbar, wie Zenofex vom Projekt Exploitee.rs schreibt. Während der Untersuchung hatte Western Digital einen Bug gepatcht, aber dabei eine weitere Schwachstelle geöffnet.

Ursprünglich wurde der Login-Status nur durch ein vom Nutzer bereitgestelltes Cookie geprüft. Nutzer hätten hier die entsprechenden Argumente eintragen müssen. Mit dem Argument "isAdmin=1" hätten sie sich dabei ohne jede weitere Prüfung selbst Administratorenrechte zuschreiben können. Diese Schwachstelle wurde nach Angaben von Zenofex im Laufe der Untersuchungen geschlossen. Genaue Angaben zur betroffenen Firmware-Version gibt es in dem Post nicht.

Zweiter Fehler nicht gepatcht

Ein weiterer Fehler ist nach wie vor in der Firmware präsent und wurde bislang nicht behoben. Das Exploitee.rs-Team hat nach eigenen Angaben den Prozess des Responsible Disclosure nicht eingehalten und begründet das mit mangelhaftem Verhalten des Herstellers in der Vergangenheit. So habe Western Digital bei den vergangenen Pwnie-Awards einen Preis in der Kategorie "Schlechteste Hersteller-Reaktion" bekommen. Daher wolle man die Informationen so schnell wie möglich veröffentlichen, damit Nutzer ihre eigenen Geräte schützen können.

Der zweite Fehler betrifft eine inkorrekte Implementierung von PHP, insbesondere der Funktion "wto_check()", mit der eigentlich geprüft werden soll, ob ein Nutzer korrekt eingeloggt ist oder nicht. Weil aber die Funktion "escapeshellcmd()" falsch benutzt wird, kann der Nutzer einfach neue Argumente zu dem geprüften String hinzufügen und so erneut ein unautorisiertes Login vornehmen.

Weitere Fehler in der Implementierung der verwendeten CGI-Skripte ermöglichen einem Angreifer zudem, Befehle einzuschleusen und mit Root-Rechten auszuführen. Von den Sicherheitslücken betroffen sind nach Angaben von Exploitee.rs die Produkte My Cloud, My Cloud Gen 2, My Cloud Mirror, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100. Nutzer sollten die Geräte nicht mehr mit dem Internet verbinden, bis die Probleme behoben sind. Wir haben Western Digital wegen einer Stellungnahme kontaktiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Festplatten
WD-My-Cloud-NAS-Geräte kommen mit Backdoor-Account
artikel-bild
Solid State Drive
WD hat eigenen SSD-Controller entwickelt
artikel-bild
Fluggastdaten
Regierung dementiert Hackerangriff auf deutsches PNR-System
Meistgelesen
artikel-bild
Künstliche Intelligenz
So funktionieren KI-Bildgeneratoren
artikel-bild
Whistleblower
USA sollen intaktes außerirdisches Fluggerät besitzen
artikel-bild
Gigatron TTL zusammengebaut
Viel löten, viel Spaß, kein Mikroprozessor
Kommentarübersicht
Custom image
StunMan 07. Mär 2017

Wie gut, dass ich für die DL2100er mir einfach ein custom image gemacht habe...

Re: Es hat schon seine Gründe...
nv1t 07. Mär 2017

Das schoene an der CSRF ist, dass es nicht auf dich zugeschnitten sein muss. Das geht...

Re: ist seit Mitte Dezember bereits gepatcht
nv1t 07. Mär 2017

Ich stimme zu, dass wenn der Authentication Bug gefixt ist UND die 13 pre auth RCEs die...

Re: Wo kriegen die ihre Entwickler her?
Anonymer Nutzer 07. Mär 2017

Schau dir mal die Screens und die Software in den Autos an. Bis auf wenige Ausnahmen in...

Aktuell auf der Startseite von Golem.de
heylogin
Der Passwortmanager, der selbst ohne Passwort auskommt

Normalerweise entsperrt man seinen Passwortmanager mit einem Passwort. Doch heylogin geht einen anderen Weg und soll sicherer und komfortabler sein.
Ein Interview von Moritz Tremmel

heylogin: Der Passwortmanager, der selbst ohne Passwort auskommt
Artikel
  1. Verschlüsselungsdienst: Regierung schaltet De-Mail ab
    Verschlüsselungsdienst
    Regierung schaltet De-Mail ab

    "Kaum genutzt, teuer und umständlich": Das Bundesinnenministerium kündigt das Ende von De-Mail in der Verwaltung an

  2. Polaris: Bundeswehr will neues Aerospike-Raketentriebwerk
    Polaris
    Bundeswehr will neues Aerospike-Raketentriebwerk

    Den Auftrag für das neue Triebwerk hat die Bundeswehr an das deutsche Start-up Polaris gegeben, das damit in die Luftfahrtgeschichte eingehen kann.

  3. Playstation Deals bei Media Markt - bis zu 75 Prozent Rabatt
     
    Playstation Deals bei Media Markt - bis zu 75 Prozent Rabatt

    Die Playstation Days of Play bei Media Markt versprechen satte Deals auf jede Menge Games und Zubehör. Es winken bis zu 75 Prozent Rabatt.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: Corsair Crystal 570X RGB Mirror 99€, be quiet! Pure Base 500 59€, Patriot Viper VENOM RGB DDR5-6200 32 GB 109€ • Acer XZ322QUS 259€ • Corsair RM750x 108€ • Corsair K70 RGB PRO 135€ • PS5-Spiele & Zubehör bis -75% • Chromebooks bis -32% • NBB: Gaming-Produkte bis -50% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /