Western Digital: Frische Firmware-Updates für angreifbare My-Cloud-Lösungen

Western Digital kam vor einigen Tagen mit seinen Speicherlösungen in die Nachrichten. Diese weisen diverse Sicherheitslücken auf, des Weiteren hat Western Digital einen fest hinterlegten Admin-Zugang im System, der natürlich Zugriff auf alles gibt. Mittlerweile hat der Hersteller auch bereits einige Updates veröffentlicht, die einige Löcher stopfen sollen. Laut WD sollen die Nutzer, die Auto-Updates aktiviert haben, dieses Updates auch schon bekommen, alle anderen können für ihr Modell nach einem Update auf der Firmware-Seite nachschauen.

Dort gibt es bereits für Lösungen wie die My Cloud EX2 die Version 2.11.169, die eine große Lücke (CVE-2017-17560)  schließt. Müsst ihr mal schauen, es ist nicht überall die identische Firmware, so gibt es für die My Cloud EX2100 bereits die Firmware 2.30.181. Auch diese nennt CVE-2017-17560: „The web administration component, /web/jquery/uploader/multi_uploadify.php, provides multipart upload functionality that is accessible without authentication and can be used to place a file anywhere on the device’s file system. This allows an attacker the ability to upload a PHP shell onto the device and obtain arbitrary code execution as root.“

Andere Schwachstellen, von denen man in den letzten Tagen hörte, sollen in „zukünftigen Updates“ geschlossen werden. Western Digital teilt mit, dass keine Geräte mit My Cloud Home betroffen wären, sondern  lediglich solche, die auch Dashboard Cloud Access erlauben:

My Cloud EX2

·My Cloud EX4

·My Cloud EX2100

·My Cloud EX4100

·My Cloud EX2 Ultra

My Cloud DL2100

My Cloud DL4100

My Cloud PR2100

My Cloud PR4100

My Cloud Mirror

My Cloud Mirror Gen 2

Hier kann man in den Einstellungen den Cloud Access deaktivieren, zudem kann man das Port Forwarding unter „Settings->Network->Port Forwarding“ und im Router deaktivieren, damit niemand von außen zugreifen kann.