Western Digital: MyCloud-Speicher haben fix verbaute Hintertür
Die My Cloud-Produkte von Western Digital (WD) sind auch bei uns populär, doch wer einen derartigen Netzwerkspeicher im Einsatz hat, der sollte diesen am besten vom Netz nehmen oder gleich deaktivieren. Denn die My Cloud-Lösungen haben eine schwerwiegende Schwachstelle, die sich auch nicht ohne Weiteres patchen lässt. Das ist nicht die einzige Parallele zu Meltdown und Spectre, denn auch Western Digital weiß seit vielen Monaten, dass diese besteht.
Der Sicherheitsforscher James Bercegay hat WD bereits Mitte 2017 über diese Lücke informiert. Nach einem halben Jahr ist der Zeitraum verstrichen, den Western Digital (auf eigenen Wunsch) erhalten hat, auf GulfTech wurden alle Details und ein Proof-of-Concept-Exploit veröffentlicht (via TechSpot). Einen Fix konnte WD bisher allerdings nicht liefern.
Und es ist fraglich, ob WD dagegen etwas tun kann, denn die Hintertür ist "hard coded" und lässt sich damit nicht per Software deaktivieren. Das bedeutet, dass eine bestimmte Kombination aus Nutzername und Passwort Zugang zu ausnahmslos jedem der betroffenen My Cloud-Speicher gewährt. Der Zugang ist auch umfassend, denn der Admin bekommt Shell-Zugang und kann damit auch alle nur denkbaren Kommandos ausführen. Nicht betroffen sind übrigens die Modelle der MyCloud 04.X-Serie sowie MyCloud-Geräte mit Firmware 2.30.174.
Gefunden wurden die Lücken auf der Firmware-Version 2.30.165, WD hat im vergangenen November auf Version 2.30.174 aktualisiert. Auf diese sollte man auch aktualisieren, es ist dabei aber nicht klar, ob das Problem bei dieser Firmware tatsächlich noch besteht oder nicht.
Der Sicherheitsforscher James Bercegay hat WD bereits Mitte 2017 über diese Lücke informiert. Nach einem halben Jahr ist der Zeitraum verstrichen, den Western Digital (auf eigenen Wunsch) erhalten hat, auf GulfTech wurden alle Details und ein Proof-of-Concept-Exploit veröffentlicht (via TechSpot). Einen Fix konnte WD bisher allerdings nicht liefern.
Und es ist fraglich, ob WD dagegen etwas tun kann, denn die Hintertür ist "hard coded" und lässt sich damit nicht per Software deaktivieren. Das bedeutet, dass eine bestimmte Kombination aus Nutzername und Passwort Zugang zu ausnahmslos jedem der betroffenen My Cloud-Speicher gewährt. Der Zugang ist auch umfassend, denn der Admin bekommt Shell-Zugang und kann damit auch alle nur denkbaren Kommandos ausführen. Nicht betroffen sind übrigens die Modelle der MyCloud 04.X-Serie sowie MyCloud-Geräte mit Firmware 2.30.174.
Gefunden wurden die Lücken auf der Firmware-Version 2.30.165, WD hat im vergangenen November auf Version 2.30.174 aktualisiert. Auf diese sollte man auch aktualisieren, es ist dabei aber nicht klar, ob das Problem bei dieser Firmware tatsächlich noch besteht oder nicht.
Und das sind die betroffenen WD-Produkte:
- MyCloud
- MyCloudMirror
- My Cloud Gen 2
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
Mehr zum Thema: Cloud
Kommentar abgeben
Netiquette beachten!
Jetzt als Amazon Blitzangebot
Ab 11:40 Uhr 
Obkbo Smartwatch mit telefonfunktion,1.36-Zoll HD Voll Touchscreen Smart Watch mit 360° Drehbare Krone, Pulsuhr, Blutdruckmessung, Schlafmonitor, SpO2, Fitness Armbanduhr für Android iOS
Obkbo Smartwatch mit telefonfunktion,1.36-Zoll HD Voll Touchscreen Smart Watch mit 360° Drehbare Krone, Pulsuhr, Blutdruckmessung, Schlafmonitor, SpO2, Fitness Armbanduhr für Android iOS Original Amazon-Preis
59,99 €
Blitzangebot-Preis
47,99 €
Ersparnis zu Amazon 20% oder 12 €
Beliebte Downloads
Bilder zum Thema Cloud
Beiträge aus dem Forum
-
rklone, insinc, GNOME, KDE etc: .zur nativen Verwendung Google Drive
el_pelajo -
Gruppieren von Textfeld und PNG Icon (Word Office 365)
Hideko1994 -
Office 365 und Windows Benutzerkontensteuerung
Bassman -
oneDrive nach PC Rücksetzen unvollständig
Hideko1994 -
GitHub Codespaces - die cloudbasierte Entwicklungsumgebung mit vielen
el_pelajo -
Office 365 - Sync AD (2012R2)
der dom -
OneDrive doppelt ?
hjhkl43 -
[Hilfe benötigt] Nextcloud / OnlyOffice und Probleme
PeaT1105 -
Onedrive Warnung gleichzeitig geöffneter Dateien
rutmay -
OneDrive
DON666
Interessante Links
Beliebt im Preisvergleich
- cat hdxnas:
Neue Nachrichten
- Microsoft Edge: Split-Screen-Modus mit zwei Webseiten pro Tab
- 'Phoenix': Microsoft arbeitet an Re-Design & neuen Features für Edge
- Tesla Cybertruck geht nicht vor 2024 in die Massenproduktion
- Überarbeitetes Kompatibilitätsupdate für Windows 10 und 11 ist da
- Neue Teststrecke: Uni Stuttgart testet E-Auto-Laden während der Fahrt
- Neues Fritz-Labor behebt Probleme und verbessert allgemeine Stabilität
- Tesla geht es "besser als befürchtet" - Musk warnt aber vor Rezession
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen