Western Digital: Zahlreiche My-Cloud-Lösungen sollen unsicher sein
von caschy | 5 Kommentare
Die My-Cloud-Lösungen von Western Digital haben im Vergleich zu anderen Herstellern nicht viele Möglichkeiten, aber für viele Anwendungsfälle sind sie durchaus ausreichend und oft auch im Angebot zu bekommen. Schon im März 2017 machten Berichte über Sicherheitslücken die Runde. Nun warnen Sicherheitsforscher erneut. Die schlimmste Lücke ist demnach ein fest hinterlegter Admin-Zugang, der nicht deaktivierbar ist. Bedeutet: Jeder, der in irgendeiner Form – auch via Internet – Zugriff bekommt, kann auf den Speicher zugreifen. Die Entdecker der Lücken haben die Zugangsdaten für festen Admin-Account – man kann es ruhig Backdoor nennen – gleich in ihrem Bericht eingefügt.
Laut Aussagen der Finder der Lücken habe man Western Digital bereits Mitte 2017 Bescheid gegeben und der Eingang der Informationen wurde auch bestätigt. Western Digital soll wohl die üblichen 90 Tage eingefordert haben, bevor die Lücken öffentlich gemacht wurden. Ein Update ist bisher nicht erfolgt. Behaltet das im Auge oder schaut, dass euer NAS von WD nicht im Internet erreichbar ist.
Betroffen sollen sein:
MyCloud <= 2.30.165
MyCloudMirror <= 2.30.165
My Cloud Gen 2
My Cloud PR2100
My Cloud PR4100
My Cloud EX2 Ultra
My Cloud EX2
My Cloud EX4
My Cloud EX2100
My Cloud EX4100
My Cloud DL2100
My Cloud DL4100
Wird geladen ...
Interessanterweise gibt es für die MyCloud inzwischen die Firmware 2.30.172 bzw. sogar für etliche Modelle die Version 04.05.00-320, beide released Ende Dezember 2017 –
leider wurde es von gulftech noch nicht nachgeholt, die beiden Versionsstände noch mit zu prüfen, wobei die 4.er vorbehaltlich einer (noch) fehlenden Meldung sicher scheint…
Sträflich ist es aber dennoch allemal, einen quasi-root im cgi hart rein-zu-coden – das ist wie die Pin der EC- oder VISA-Karte auf der Rückseite ins Unterschriftenfeld einzutragen, wobei ich das auch schon oft genug in freier Wildbahn gesehen habe..
Die „my cloud mirror gen 2“ wird‘ nicht erwähnt. Heißt das, dass sie nicht betroffen ist?
Kann man schnell selber testen: Kurz diesen Code auf einer Website einbinden (geht auch Lokal):
Website öffnen. Wenn danach alles gelöscht ist, ist man betroffen.
Schade, der Code wird gelöscht. Naja, man findet ihn in der verlinkten Analyse.
Nur gut, dass meine WdMyCloud so ätzend langsam ist, dass da wahrscheinlich kein Angreifer überhaupt auf Antworten warten würde. Der würde eher denken, dass die Platte kaputt ist und nicht antwortet.
Ganz ganz ganz schlecht dieses WD Zeugs.
Irgendwann hat sich die Weboberfläche aufgehängt. War einfach nicht mehr aufrufbar. Das konnte ich jetzt fixen. Aber Bilder hoch laden und anschauen dauert gut und gerne mal 10-20 Sekunden pro Bild.