MyCloud wird zu Jedermanns-Cloud - und Western Digital tut nichts

Besitzer von NAS-Systemen des Festplatten-Herstellers Western Digital sollten ihren Speichergeräten aktuell etwas mehr Aufmerksamkeit widmen. Denn ein Sicherheitsforscher hat jetzt weitergehende Details zu einer Sicherheitslücke veröffentlicht, um die sich das Unternehmen seit inzwischen gut einem Jahr schlicht nicht kümmert.
Western Digital, My Cloud, My CXloud EX2 Ultra, Western Digital My CXloud EX2 Ultra
Western Digital
Betroffen sind demnach Produkte der MyCloud-Serie. In deren Firmware gibt es laut dem Sicherheitsexperten eine Sicherheitslücke, über die Angreifer sich weitergehende Privilegien verschaffen können. Oder eben sehr konkret ausgedrückt: Es ist möglich, das Admin-Passwort zu umgehen und die NAS-Systeme vollständig unter die eigene Kontrolle zu bringen.

Das Problem wird nach Angaben Remco Vermeulens dadurch verursacht, dass die Web-Oberfläche zur Administration der Speichergeräte den Zugang zu einigen Features öffnet, noch bevor der Nutzer sich hinreichend legitimiert hat. Wenn man den Ansatzpunkt erst einmal kenne, sei es ziemlich einfach die MyCloud-Geräte zu übernehmen. Und wenn diese eben im Rahmen der Private-Cloud-Funktion auch noch aus dem Internet zugänglich sind - was bei vielen tausenden aktiven Systemen der Fall ist, kann im Grunde jedermann auf die dort abgelegten Daten zugreifen.

WD auf Tauchstation

Vermeulen hat den Bug bereits im April 2017 an Western Digital gemeldet. Allerdings habe das Unternehmen die Korrespondenz etwas später einfach eingestellt. Man könnte annehmen, dass der Sicherheitsforscher übertreibt und man bei dem Hersteller schlicht zu anderen Schlüssen kam, doch hat inzwischen auch eine andere Gruppe den Weg gefunden, die Schwachstelle anzugreifen. Und wenn dies schon bei zwei Security-Experten der Fall ist, muss angenommen werden, dass auch Kriminelle schon Zugang gefunden haben.

Inzwischen sind auch Updates für die Firmware herausgegeben worden, ohne dass die Schwachstelle gefixt worden wäre. Gegenüber TechCrunch hat Western Digital mitgeteilt, dass man sich des Fehlers bewusst sei und an einem Patch arbeite - warum das aber über ein Jahr dauert, erklärte man nicht.

Siehe auch: Western Digitals MyCloud-Speicher haben fix verbaute Hintertür

Download ownCloud Server - Privater Cloud-Speicher Download Dropbox Beta Build - Dateien via Cloud synchronisieren
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!