Western Digital: WD schließt kritische Lücken auf externen Laufwerken

Das My Cloud OS 3 auf älteren externen HDDs und Laufwerken ist unsicher. Western Digital schließt zumindest vier Sicherheitslücken.

Artikel veröffentlicht am ,
Western Digital schließt viele Sicherheitslücken in My Cloud OS 3.
Western Digital schließt viele Sicherheitslücken in My Cloud OS 3. (Bild: Pixabay.com/Montage: Golem.de/Pixabay License)

Der Festplattenhersteller Western Digital hat mehrere Sicherheitslücken auf dem älteren My Cloud OS 3 entdeckt und dafür Patches veröffentlicht. Das Programm wird mit Firmware 2.12.144 auf externen Festplatten und Datenträgern des Herstellers verwendet. Die Sicherheitslücken ermöglichen es fremden Parteien, auf die gespeicherten Daten zuzugreifen - teilweise ohne erweiterte Zugriffsrechte.

Stellenmarkt
  1. IT-Systemadministrator / Fachinformatiker für Systemintegration (m/w/d)
    andagon people GmbH, Köln
  2. Ingenieur (m/w/d) Netzberechnung Datenhaltung
    Amprion GmbH, Pulheim
Detailsuche

Das ermöglicht etwa die Sicherheitslücke mit der Bezeichnung CVE-2021-40438, die zudem einen Score von 9.0 aufweist und daher besonders kritisch ist. Angreifer können mittels eigens dafür erstellter Links eine Anfrage an einen Drittserver stellen und darauf Daten der verwundbaren HDD kopieren.

Auch die CVE-2021-39275 wird mit einem Score von 9.8 als kritisch eingestuft. Die Lücke nutzt einen Buffer Overflow für Eingaben aus. Beide Sicherheitslücken werden durch den Apache-HTTP-Server 2.4.48 und älter verursacht. My Cloud OS 3 verwendet noch diese alte Version der Software und ist selbst auch bereits älter.

My Cloud OS 3 läuft im April 2022 aus

Die beiden Sicherheitslücken CVE-2021-36160 und CVE-2021-34798 sind mit 7.5 etwas niedriger, aber immer noch als hohes Risiko eingestuft. Mit Hilfe einer manipulierten URL kann das System mittels Denial of Service zum Absturz gebracht werden. Auch hier ist der Grund im veralteten Apache-HTTP-Server zu finden, der von My Cloud OS 3 noch genutzt wird.

Western Digital 4TB Elements Desktop externe Festplatte USB3.0
Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
Weitere IT-Trainings

Produkte mit My Cloud OS 3 werden spätestens im April 2022 nicht mehr vom Hersteller unterstützt. Das liegt unter anderem auch an den veralteten und daher unsicheren Komponenten wie dem genannten Apache-Server 2.4.48. Es wird daher vom Hersteller und anderen Stellen geraten, auf ein anderes Produkt zu wechseln und die Hardware zu aktualisieren.

Geräte, die mit My Cloud OS 5 kompatibel sind, haben eine vorgezogene Deadline erhalten, die am 15. Januar 2022 endete. WD schaltet diverse Features ab und will so zum Softwareupgrade motivieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nordvpn, Expressvpn, Mullvad & Co
Die Qual der VPN-Wahl

Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
Von Moritz Tremmel

Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Ubisoft Blue Byte: Entwicklung von Die Siedler geht weiter
    Ubisoft Blue Byte
    Entwicklung von Die Siedler geht weiter

    Trotz harscher Kritik an einer Vorabversion geben die Entwickler nicht auf: Nun soll Die Siedler zusammen mit der Community entstehen.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /