Western Digital MyCloud-Lösungen unter Umständen angreifbar

Die MyCloud-Lösungen von WD sind recht beliebt. Man bekommt Netzwerkspeicher zur Verfügung gestellt, diesen sogar oftmals recht günstig, denn wenn ich irgendwelche Angebote in der Richtung sehe, dann sind es meist die Western Digital MyCloud-Lösungen. Ich selber finde die eigentlich sogar ausreichend, wenn man nicht allzu viel machen will. Es gibt ein paar Software-Module, die brauchbar sind, in Sachen Umfang kommt man aber nicht an Qnap oder Synology ran.

Bereits 2015 kam Western Digital in die Medien, denn Sicherheitsforscher sprachen von Anfängerfehlern, die Western Digital machte. Hier gestaltete es sich besonders einfach, die Kisten anzugreifen und auch verschlüsselte Dateien zu entschlüsseln. Ein aktueller Bericht spricht nun von weiteren Anfälligkeiten. Nun muss man ein wenig differenzieren und sehen, dass es natürlich Abhängigkeiten gibt: Wenn ein Angreifer keinen Zugriff auf ein Western Digital-NAS hat – weil er beispielsweise nicht ins Netzwerk kann und somit nicht zugreifen kann – dann ist nichts gefährlich.

Die Sicherheitsforscher von exploitee schreiben in ihrem Blog, wie sie auf ein NAS von Western Digital zugreifen konnten, bzw. den Login-Vorgang überlisten konnten. Des Weiteren fanden sie einen ganzen Schwung diverser Fehler in der Software, die zum Beispiel nicht autorisierten Nutzern Upload auf das System erlaubt. Wie erwähnt: Die Lösungen von WD sind nicht pauschal unsicher und schon gar nicht von nicht versierten Nutzern mit fehlendem Fachwissen angreifbar.

Dennoch sollte man vielleicht die Augen aufhalten, falls bald ein Sicherheits-Update eintrudelt. Dieses könnte unter Umständen aber noch etwas dauern. Die Finder der Sicherheitslücken beschreiben, dass sie lernen mussten, welchen Ruf Western Digital in der Szene der Sicherheitsforscher hat.

So gewann Western Digital auf der BlackHat Konferenz in Las Vegas die Auszeichnung „“Pwnie for Lamest Vendor Response”. Sprich: Man reagiert wohl äußerst langsam, wenn überhaupt. Laut exploitee kann man die gefundenen Fehler wohl auf alle Western Digital MyCloud anwenden, dazu gehören auch die folgenden Maschinen:

  • My Cloud
  • My Cloud Gen 2
  • My Cloud Mirror
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

10 Kommentare

  1. Ich habe mir vor einer Woche eine 3TB Rezertifiziert My Cloud bei WD direkt gekauft, und muss sagen, dass ich schon recht enttäuscht war über die Funktionen. Dass man sie mit synology nicht vergleichen kann war mir ja klar, aber die Teile können außer SMB und FTP ja absolut gar nichts. Als eingehender rsync Server dienen? Vergiss es. Aber ausgehend sollte doch gehen, oder? Theoretisch, ich habe es nicht hin bekommen. Schwafelt irgendwas von kein Zugriff, obwohl sich das Teil erfolgreich auf der DS angemeldet hab. Vielleicht webdav zum Backups von der DS drauf erstellen? Ähm, nein. Nicht mal webdav kann das Teil!

    Die Teile sind – gerade zu dem Preis nicht schlecht, wenn man bedenkt, dass sie meist günstiger sind als die Festplatte extra zu kaufen – jedoch kann man von einem NAS schon erwarten, dass es wenigstens webdav kann, denn nicht jeder Client kann SMB.

    Zugute halten muss man dem Teil definitiv die Geschwindigkeit, auch der Cloud Zugriff ist ganz nett, aber leider wirklich nur für anspruchslose Anfänger die am PC ein Netzwerklaufwerk einbinden möchten – mehr nicht.

  2. Support ist eine Frage der Unternehmens- und Produktkultur, aber auch eine finanzielle. Es kommt nicht von ungefähr, dass man für den Preis eines Leergehäuses von Synology bei WD häufig fertige Systeme mit 4TB bekam.

    Ich habe selbst als ersten Schritt ein WD NAS eingesetzt und gefühlt einmal pro Jahr ein Update bekommen.

  3. @Oliver Nun, da muss man aber auch bedenken, dass WD die Festplatten selbst herstellt – dass es dann günstiger geht, ist klar.

    Und zum Thema Support: Bei Synology warte ich inzwischen (schon wieder) seit fünf Tagen auf eine Antwort – bei WD war die Antwort am nächsten Tag da. Und eine erneute Rückfrage per E-Mail wurde binnen 15 Minuten beantwortet.

  4. Der hier beschriebene Exploit ist mit den Firmware-Updates für alle My Cloud Systeme Mitte Dezember geschlossen worden.

  5. @Patrick,
    Selbst schuld.
    Anstatt hinterher in Foren zu jammern, wäre es cleverer gewesen, sich vorher zu informieren, oder sehe ich das falsch?
    Kein Mitleid… 😀

  6. @vel2000 Habe ich. Und da hieß es, es geht über Umwege – geht aber nicht, jedenfalls habe ich es nicht hinbekommen.

    Und Remote-Backup kann die Kiste hochoffiziell, zumindest ausgehend. Aber nicht mal das funktioniert! Und auch das findet man, wenn man danach sucht, dass das Problem mehrere haben.

    Und: WebDAV gehört bei mir zum Basic, und sollte JEDES NAS beherrschen. Da gehe ich einfach von aus, dass sie das kann.
    Und letztlich ist es mir egal; entweder geht das Ding zurück, oder ich behalte die 3TB WD RED für 99 EUR

  7. @Jörg: Das sehen die Leute wohl anders. Bist du dir sicher? https://twitter.com/nv1t/status/838716877488685057

  8. Wem seine Daten nichts wert sind, kann ich solche „Lösungen“ nur empfehlen.

  9. Ich habe schon diverse WD Produkte gekauft.
    Insgesamt kann man sagen, das die WD Produkte billig sind.
    Die Nachhaltigkeit und die Software dem Preis entsprechend billig sind.

    Man kann schon froh sein das die Features dem nächsten Firmwareupdate nicht ohne Warnung zum Opfer fallen.
    So geschehen mit einer WD NAS. Beim Kauf noch mit NFS Support. Das Teil angeschlossen und die NAS zeigte das es ein Firmwareupdate gibt.
    Dieses habe ich gemacht und NFS war weg.
    Im Changelog stand dann das NFS von WD nicht mehr supportet wird.

  10. Es ist sehr spannend das hier gesagt wird das Update gab es bereits im Dezember. Ich habe gestern gleich geprüft wie es mit Updates aussieht und es waren keine Verfügbar, heute war dann das „angebliche?“ Dezember Update auf meiner 3TB MyCloud verfügbar. Datiert 13.12.2016.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.