MyCloud wird zu Jedermanns-Cloud - und Western Digital tut nichts
Besitzer von NAS-Systemen des Festplatten-Herstellers Western Digital sollten ihren Speichergeräten aktuell etwas mehr Aufmerksamkeit widmen. Denn ein Sicherheitsforscher hat jetzt weitergehende Details zu einer Sicherheitslücke veröffentlicht, um die sich das Unternehmen seit inzwischen gut einem Jahr schlicht nicht kümmert.
Betroffen sind demnach Produkte der MyCloud-Serie. In deren Firmware gibt es laut dem Sicherheitsexperten eine Sicherheitslücke, über die Angreifer sich weitergehende Privilegien verschaffen können. Oder eben sehr konkret ausgedrückt: Es ist möglich, das Admin-Passwort zu umgehen und die NAS-Systeme vollständig unter die eigene Kontrolle zu bringen.
Das Problem wird nach Angaben Remco Vermeulens dadurch verursacht, dass die Web-Oberfläche zur Administration der Speichergeräte den Zugang zu einigen Features öffnet, noch bevor der Nutzer sich hinreichend legitimiert hat. Wenn man den Ansatzpunkt erst einmal kenne, sei es ziemlich einfach die MyCloud-Geräte zu übernehmen. Und wenn diese eben im Rahmen der Private-Cloud-Funktion auch noch aus dem Internet zugänglich sind - was bei vielen tausenden aktiven Systemen der Fall ist, kann im Grunde jedermann auf die dort abgelegten Daten zugreifen.
Inzwischen sind auch Updates für die Firmware herausgegeben worden, ohne dass die Schwachstelle gefixt worden wäre. Gegenüber TechCrunch hat Western Digital mitgeteilt, dass man sich des Fehlers bewusst sei und an einem Patch arbeite - warum das aber über ein Jahr dauert, erklärte man nicht.
Siehe auch: Western Digitals MyCloud-Speicher haben fix verbaute Hintertür
Download ownCloud Server - Privater Cloud-Speicher Download Dropbox Beta Build - Dateien via Cloud synchronisieren
Das Problem wird nach Angaben Remco Vermeulens dadurch verursacht, dass die Web-Oberfläche zur Administration der Speichergeräte den Zugang zu einigen Features öffnet, noch bevor der Nutzer sich hinreichend legitimiert hat. Wenn man den Ansatzpunkt erst einmal kenne, sei es ziemlich einfach die MyCloud-Geräte zu übernehmen. Und wenn diese eben im Rahmen der Private-Cloud-Funktion auch noch aus dem Internet zugänglich sind - was bei vielen tausenden aktiven Systemen der Fall ist, kann im Grunde jedermann auf die dort abgelegten Daten zugreifen.
WD auf Tauchstation
Vermeulen hat den Bug bereits im April 2017 an Western Digital gemeldet. Allerdings habe das Unternehmen die Korrespondenz etwas später einfach eingestellt. Man könnte annehmen, dass der Sicherheitsforscher übertreibt und man bei dem Hersteller schlicht zu anderen Schlüssen kam, doch hat inzwischen auch eine andere Gruppe den Weg gefunden, die Schwachstelle anzugreifen. Und wenn dies schon bei zwei Security-Experten der Fall ist, muss angenommen werden, dass auch Kriminelle schon Zugang gefunden haben.Inzwischen sind auch Updates für die Firmware herausgegeben worden, ohne dass die Schwachstelle gefixt worden wäre. Gegenüber TechCrunch hat Western Digital mitgeteilt, dass man sich des Fehlers bewusst sei und an einem Patch arbeite - warum das aber über ein Jahr dauert, erklärte man nicht.
Siehe auch: Western Digitals MyCloud-Speicher haben fix verbaute Hintertür
Download ownCloud Server - Privater Cloud-Speicher Download Dropbox Beta Build - Dateien via Cloud synchronisieren
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
- James-Webb-Teleskop entdeckt Metallsalz-Wolken auf pinkem Exoplanet
Videos
Neueste Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - Heute 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - Gestern 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - Gestern 11:14 Uhr -
Datenträgerverwaltung
micro300 - Gestern 08:52 Uhr -
KDE kommt mit Plasma 6.7
d-hubs - Vorgestern 20:26 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen