Western Digital stellt Sicherheitsupdates für alte Sicherheitslücke bei „My Cloud“-Modellen in Aussicht
Die My-Cloud-Lösungen von Western Digital kämpfen ab und an mal mit Sicherheitsproblemen, die in der Regel auch wieder behoben werden. So auch in einem aktuellen Fall, dessen Lücke allerdings schon vor einer ganzen Weile an Western Digital gemeldet und nun öffentlich gemacht wurde. Unter Umständen können Angreifer Admin-Rechte erlangen und haben so Zugriff auf die gespeicherten Inhalte.
Wie Western Digital jetzt in einem eigenen Blogpost erklärt, ist ein Fix für diese Lücke in Arbeit und wird in den nächsten Wochen verteilt. Betroffen sind wohl alle Modelle mit „Dashboard Cloud Access“:
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud EX2 Ultra
- My Cloud DL2100
- My Cloud DL4100
- My Cloud PR2100
- My Cloud PR4100
- My Cloud Mirror
- My Cloud Mirror Gen 2
Dass die Lücke veröffentlicht wurde bevor ein Fix zur Verfügung steht, liegt letztendlich an Western Digital, die Sicherheitsforscher haben die Lücke wie üblich gemeldet und dem Unternehmen Zeit gelassen. Gemeldet im April und veröffentlicht im September, das ist weit mehr als die üblichen 90 Tage. Seit April gab es laut Securify aber keine Reaktion seitens Western Digital. Auch dass der Fix erst jetzt in Arbeit ist, spricht eher dafür, dass man bei WD das Problem einfach ignoriert hat und nun erst nach Veröffentlichung aktiv wird.
Solltet Ihr also eines der betroffenen Modelle einsetzen, lasst Vorsicht walten, auch wenn die Lücke nicht allzu einfach auszunutzen ist. Die entsprechenden Updates werden bei Verfügbarkeit dann auf dieser Seite bereitstehen.
Ich kann jedem nur abraten, ein SOHO NAS außerhalb Synology / Qnap zu kaufen. Meine Erfahrungen mit WD, Seagate, Buffalo oder Asus sind mehr oder weniger gleich. Entweder gibt es überhaupt keine Updates oder nur sporadisch. Wenn man Pech hat, werden gröbste Sicherheitsmängel nicht gefixed und man kann die Kiste quasi abschalten. Von Funktionsupdates will ich gar nicht erst anfangen.
Da muss ich oliver aus eigener Erfahrung leider zustimmen.
Die Hardware von WD ist gut aber die Software ist unbrauchbar.
Fehler werden nicht behoben und mit Softwareupdates werden nach und nach Features einfach abgeschaltet.
So geschehen mit einem NAS das nach einem Update kein NFS mehr konnte weil WD den Teil einfach aus der Software entfernt hatte.
Wenn man den verlinkten Beitrag auch richtig liest, merkt man, dass es noch viel schlimmer ist. Die Sicherheitslücke wurde immerhin bereits im April 2017 gefunden und gemeldet.
Weiß jemand, ob der Zugriff von außen auch möglich ist, wenn die Relayverbindung für die App verwendet wird, allerdings keine eigene http Adresse hinterlegt ist?