Western Digital: MyCloud-Speicher haben fix verbaute Hintertür

2018 hat in Sachen Sicherheit nicht gut begonnen, zumindest wenn man das Bekanntwerden von Lücken als negativ wertet. Denn Meltdown und Spectre betreffen nahezu alle Anwender. Nun hat das noch junge Jahr seinen zweiten massiven Sicherheitsvorfall zu bieten, denn bei Produkten des Speicherherstellers Western Digital wurde eine "eingebaute" Hintertür entdeckt.
Western Digital, My Cloud, My CXloud EX2 Ultra, Western Digital My CXloud EX2 Ultra
Western Digital
Die My Cloud-Produkte von Western Digital (WD) sind auch bei uns populär, doch wer einen derartigen Netzwerkspeicher im Einsatz hat, der sollte diesen am besten vom Netz nehmen oder gleich deaktivieren. Denn die My Cloud-Lösungen haben eine schwerwiegende Schwachstelle, die sich auch nicht ohne Weiteres patchen lässt. Das ist nicht die einzige Parallele zu Meltdown und Spectre, denn auch Western Digital weiß seit vielen Monaten, dass diese besteht.

Der Sicherheitsforscher James Bercegay hat WD bereits Mitte 2017 über diese Lücke informiert. Nach einem halben Jahr ist der Zeitraum verstrichen, den Western Digital (auf eigenen Wunsch) erhalten hat, auf GulfTech wurden alle Details und ein Proof-of-Concept-Exploit veröffentlicht (via TechSpot). Einen Fix konnte WD bisher allerdings nicht liefern.

Und es ist fraglich, ob WD dagegen etwas tun kann, denn die Hintertür ist "hard coded" und lässt sich damit nicht per Software deaktivieren. Das bedeutet, dass eine bestimmte Kombination aus Nutzername und Passwort Zugang zu ausnahmslos jedem der betroffenen My Cloud-Speicher gewährt. Der Zugang ist auch umfassend, denn der Admin bekommt Shell-Zugang und kann damit auch alle nur denkbaren Kommandos ausführen. Nicht betroffen sind übrigens die Modelle der MyCloud 04.X-Serie sowie MyCloud-Geräte mit Firmware 2.30.174.

Gefunden wurden die Lücken auf der Firmware-Version 2.30.165, WD hat im vergangenen November auf Version 2.30.174 aktualisiert. Auf diese sollte man auch aktualisieren, es ist dabei aber nicht klar, ob das Problem bei dieser Firmware tatsächlich noch besteht oder nicht.

Und das sind die betroffenen WD-Produkte:

  • MyCloud
  • MyCloudMirror
  • My Cloud Gen 2
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:49 Uhr NiPoGi Mini PC 1024 GB(1TB) M.2 SSD, 12th Gen Intel Alder Lake-N100(bis zu 3.4 GHz), AK2 Plus 16 GB DDR4 Computer, Tower mit 2xHDMI/WiFi 5/BT 4.2/Gigabit Ethernet für Zuhause/BüroNiPoGi Mini PC 1024 GB(1TB) M.2 SSD, 12th Gen Intel Alder Lake-N100(bis zu 3.4 GHz), AK2 Plus 16 GB DDR4 Computer, Tower mit 2xHDMI/WiFi 5/BT 4.2/Gigabit Ethernet für Zuhause/Büro
Original Amazon-Preis
249,99
Im Preisvergleich ab
?
Blitzangebot-Preis
199,00
Ersparnis zu Amazon 20% oder 50,99
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!