Western Digital: Frische Firmware-Updates für angreifbare My-Cloud-Lösungen

Western Digital kam vor einigen Tagen mit seinen Speicherlösungen in die Nachrichten. Diese weisen diverse Sicherheitslücken auf, des Weiteren hat Western Digital einen fest hinterlegten Admin-Zugang im System, der natürlich Zugriff auf alles gibt. Mittlerweile hat der Hersteller auch bereits einige Updates veröffentlicht, die einige Löcher stopfen sollen. Laut WD sollen die Nutzer, die Auto-Updates aktiviert haben, dieses Updates auch schon bekommen, alle anderen können für ihr Modell nach einem Update auf der Firmware-Seite nachschauen.

Dort gibt es bereits für Lösungen wie die My Cloud EX2 die Version 2.11.169, die eine große Lücke (CVE-2017-17560)  schließt. Müsst ihr mal schauen, es ist nicht überall die identische Firmware, so gibt es für die My Cloud EX2100 bereits die Firmware 2.30.181. Auch diese nennt CVE-2017-17560: „The web administration component, /web/jquery/uploader/multi_uploadify.php, provides multipart upload functionality that is accessible without authentication and can be used to place a file anywhere on the device’s file system. This allows an attacker the ability to upload a PHP shell onto the device and obtain arbitrary code execution as root.“

Andere Schwachstellen, von denen man in den letzten Tagen hörte, sollen in „zukünftigen Updates“ geschlossen werden. Western Digital teilt mit, dass keine Geräte mit My Cloud Home betroffen wären, sondern  lediglich solche, die auch Dashboard Cloud Access erlauben:

My Cloud EX2

·My Cloud EX4

·My Cloud EX2100

·My Cloud EX4100

·My Cloud EX2 Ultra

My Cloud DL2100

My Cloud DL4100

My Cloud PR2100

My Cloud PR4100

My Cloud Mirror

My Cloud Mirror Gen 2

Hier kann man in den Einstellungen den Cloud Access deaktivieren, zudem kann man das Port Forwarding unter „Settings->Network->Port Forwarding“ und im Router deaktivieren, damit niemand von außen zugreifen kann.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

3 Kommentare

  1. WD macht gute Hardware aber der Software Support ist einfach das letzte.

  2. Massive Sicherheitslücken waren bei WD auch früher schon im Preis drin.

  3. Cloud Zugriff deaktivieren. Aha, haben die nen Nagel im Kopf? Damit ist dann auch die App auf dem Handy die die Bilder zum NAS überträgt nutzlos und eine wesentliche Funktion einfach nicht mehr da. Ne, einmal WD, die nächste NAS Box kommt von Synology.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.