Western Digital: WD schließt kritische Lücken auf externen Laufwerken

Der Festplattenhersteller Western Digital hat mehrere Sicherheitslücken auf dem älteren My Cloud OS 3 entdeckt und dafür Patches veröffentlicht. Das Programm wird mit Firmware 2.12.144 auf externen Festplatten und Datenträgern des Herstellers verwendet. Die Sicherheitslücken ermöglichen es fremden Parteien, auf die gespeicherten Daten zuzugreifen - teilweise ohne erweiterte Zugriffsrechte.

Das ermöglicht etwa die Sicherheitslücke mit der Bezeichnung CVE-2021-40438, die zudem einen Score von 9.0 aufweist und daher besonders kritisch ist. Angreifer können mittels eigens dafür erstellter Links eine Anfrage an einen Drittserver stellen und darauf Daten der verwundbaren HDD kopieren.

Auch die CVE-2021-39275 wird mit einem Score von 9.8 als kritisch eingestuft. Die Lücke nutzt einen Buffer Overflow für Eingaben aus. Beide Sicherheitslücken werden durch den Apache-HTTP-Server 2.4.48 und älter verursacht. My Cloud OS 3 verwendet noch diese alte Version der Software und ist selbst auch bereits älter.

My Cloud OS 3 läuft im April 2022 aus

Die beiden Sicherheitslücken CVE-2021-36160 und CVE-2021-34798 sind mit 7.5 etwas niedriger, aber immer noch als hohes Risiko eingestuft. Mit Hilfe einer manipulierten URL kann das System mittels Denial of Service zum Absturz gebracht werden. Auch hier ist der Grund im veralteten Apache-HTTP-Server zu finden, der von My Cloud OS 3 noch genutzt wird.

Produkte mit My Cloud OS 3 werden spätestens im April 2022 nicht mehr vom Hersteller unterstützt. Das liegt unter anderem auch an den veralteten und daher unsicheren Komponenten wie dem genannten Apache-Server 2.4.48. Es wird daher vom Hersteller und anderen Stellen geraten, auf ein anderes Produkt zu wechseln und die Hardware zu aktualisieren.

Geräte, die mit My Cloud OS 5 kompatibel sind, haben eine vorgezogene Deadline erhalten, die am 15. Januar 2022 endete. WD schaltet diverse Features ab und will so zum Softwareupgrade motivieren.