Western Digital: Frische Firmware-Updates für angreifbare My-Cloud-Lösungen

Western Digital kam vor einigen Tagen mit seinen Speicherlösungen in die Nachrichten. Diese weisen diverse Sicherheitslücken auf, des Weiteren hat Western Digital einen fest hinterlegten Admin-Zugang im System, der natürlich Zugriff auf alles gibt. Mittlerweile hat der Hersteller auch bereits einige Updates veröffentlicht, die einige Löcher stopfen sollen. Laut WD sollen die Nutzer, die Auto-Updates aktiviert haben, dieses Updates auch schon bekommen, alle anderen können für ihr Modell nach einem Update auf der Firmware-Seite nachschauen.

Dort gibt es bereits für Lösungen wie die My Cloud EX2 die Version 2.11.169, die eine große Lücke (CVE-2017-17560)  schließt. Müsst ihr mal schauen, es ist nicht überall die identische Firmware, so gibt es für die My Cloud EX2100 bereits die Firmware 2.30.181. Auch diese nennt CVE-2017-17560: „The web administration component, /web/jquery/uploader/multi_uploadify.php, provides multipart upload functionality that is accessible without authentication and can be used to place a file anywhere on the device’s file system. This allows an attacker the ability to upload a PHP shell onto the device and obtain arbitrary code execution as root.“

Andere Schwachstellen, von denen man in den letzten Tagen hörte, sollen in „zukünftigen Updates“ geschlossen werden. Western Digital teilt mit, dass keine Geräte mit My Cloud Home betroffen wären, sondern  lediglich solche, die auch Dashboard Cloud Access erlauben:

My Cloud EX2

·My Cloud EX4

·My Cloud EX2100

·My Cloud EX4100

·My Cloud EX2 Ultra

My Cloud DL2100

My Cloud DL4100

My Cloud PR2100

My Cloud PR4100

My Cloud Mirror

My Cloud Mirror Gen 2

Hier kann man in den Einstellungen den Cloud Access deaktivieren, zudem kann man das Port Forwarding unter „Settings->Network->Port Forwarding“ und im Router deaktivieren, damit niemand von außen zugreifen kann.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

3 Kommentare

  1. WD macht gute Hardware aber der Software Support ist einfach das letzte.

  2. Massive Sicherheitslücken waren bei WD auch früher schon im Preis drin.

  3. Cloud Zugriff deaktivieren. Aha, haben die nen Nagel im Kopf? Damit ist dann auch die App auf dem Handy die die Bilder zum NAS überträgt nutzlos und eine wesentliche Funktion einfach nicht mehr da. Ne, einmal WD, die nächste NAS Box kommt von Synology.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.