Western Digital: MyCloud-Speicher haben fix verbaute Hintertür

2018 hat in Sachen Sicherheit nicht gut begonnen, zumindest wenn man das Bekanntwerden von Lücken als negativ wertet. Denn Meltdown und Spectre betreffen nahezu alle Anwender. Nun hat das noch junge Jahr seinen zweiten massiven Sicherheitsvorfall zu ... mehr... Western Digital, My Cloud, My CXloud EX2 Ultra, Western Digital My CXloud EX2 Ultra Bildquelle: Western Digital Western Digital, My Cloud, My CXloud EX2 Ultra, Western Digital My CXloud EX2 Ultra Western Digital, My Cloud, My CXloud EX2 Ultra, Western Digital My CXloud EX2 Ultra Western Digital

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"2018 hat in Sachen Sicherheit nicht gut begonnen, zumindest wenn man das Bekanntwerden von Lücken als negativ wertet." - Ja seit wann ist das Bekanntwerden einer Lücke auch positiv zu bewerten?
 
@CrownMiro: Gegenfrage: Sind dir Lücken, die (Herstellern und Nutzern) nicht bekannt sind, lieber?
 
@witek: Wenn sie wirklich niemand kennt - definitiv. Sobald sie einer kennt, sollten sie aber alle kennen.
 
@Bautz: Fakt ist, dass aber nichts für immer unentdeckt bleibt. Und in den meisten Fällen sind es entweder Projekte wie das von Google oder eben Hacker, die die Lücken zuerst finden.
 
@CrownMiro: "Ja seit wann ist das Bekanntwerden einer Lücke auch positiv zu bewerten?" Schon immer. Das Problem ist nicht das Bekanntwerden einer Lücke, sondern ihr Vorhandensein.
 
@CrownMiro: Das Bekanntwerden kann positiv sein, wenn es dazu führt, dass die Lücke geschlossen wird.
 
Da fragt man sich, ob manche gar kein Gespür für Sicherheit haben....
 
"Und es ist fraglich, ob WD dagegen etwas tun kann, denn die Hintertür ist "hard coded" und lässt sich damit nicht per Software deaktivieren."
Diesen Abschnitt verstehe ich nicht. Wenn diese Zugangsdaten "hard coded" sind, kann WD doch dennoch eine Firmware-Version bereitstellen, in welcher diese Codezeilen entfernt wurden?
 
@erso: Kommt drauf an, ob man die betreffende Firmware überhaupt updaten kann. Im PC Bereich ist man ja gewohnt, BIOS/UEFI etc. updaten zu können, aber bei der meisten anderen Hardware und Peripherie werden meist Controller mit fest aufgespielter Firmware genutzt, die über kein Modul verfügen um den Chip zu beschreiben. Da müsste man dann den Chip ausbauen und mit nem Programmer ran um eine neue Firmware zu flashen, also völlig unpraktikabel für den normalen Nutzer.
Vieles was heute Firmware genannt wird ist auch keine eigtl Firmware im Sinne von der wirklichen Programmierung des Controllers, sondern einfach nur das OS was auf dem Gerät läuft. Wenn diese Zugangsdaten nicht in dem Teil stecken sondern wirklich irgendwo in den Chip gebrannt, kriegt man die mit nem OS Update nicht raus. Dann kann man höchstens mit der Software versuchen, diese abzufangen.
 
Ehrlich gesagt will ich so langsam garnicht mehr wissen was dann Synology etc. Lenovo Cisco oder Hp Stroage Lösungen für löcher haben. Ist es ander Zeit wieder umzudenken und wieder alles offline zu nehmen wo es möglich ist ? Ich meine JA...
 
@zyanidgas: Wieso gehst du davon aus, dass Produkte frei von "löcher" sind? BTW größtes Sicherheitsrisiko sind Browser und alle Geräte die welche einsetzen. Selbst wenn ein Netzwerk mit all seinen Geräten vollkommen sicher wäre, dann wäre ein Browser wohl das Einfallstor. Vermutlich irgendein Driveby scheiß eines Kompromittierten werbe Anbieters auf seriösen Seiten. Oder einfach nur eine Email.

Also wenn du meinst offline nehmen wäre eine Lösung, dann solltest du bei dir anfangen xD
 
@zyanidgas: Fakt 1: JEDE Software kann man Hacken!; Fakt 2: Was offline ist, ist auch nicht 100% sicher. Wer wirklich an die Daten will, kommt dann persönlich vorbei!; Fakt 3: Was offline ist, kann kein Updates zur Sicherheit erhalten, was den "Besucher" den Zugriff erschweren könnte.
 
@Scaver: 3x Unsinn als Fakt bitte, dazu etwas Mayo wenns geht. Danke
 
Die Meldung ist zumindest im letzten Absatz in sich nicht schlüssig : "Und es ist fraglich, ob WD dagegen etwas tun kann, denn die Hintertür ist "hard coded" und lässt sich damit nicht per Software deaktivieren. --- Nicht betroffen sind übrigens die Modelle der MyCloud 04.X-Serie sowie MyCloud-Geräte mit Firmware 2.30.174. "

Also KANN WD durch ein Firmware-Update die Lücke beheben, denn bei der Firmware < 2.30.174 war die Backdoor ja noch offen (!).

Ich habe mir die Arbeit gemacht und die Quelle komplett gelesen. Und auch verstanden (wichtig, "nur" lesen "bildet" auch gerne mal nur eine "Einbildung" :-) ).

Die Backdoor selber wird mittels einem root-Zugang, welcher fest in einem CGI-Script einprogrammiert wurde, initiiert, d.h. in der Verarbeitung des CGI-Scripts auf dem Webserver.
Der verwendete Webserver selber hat auch Probleme, wird aber (vermutlich als Open-Source) für den OS-Stand/ die Kernel-Version von WD nicht mehr weiter gepflegt.
Daher weiter vermutet auch die weiterhin bestehende Sicherheitslücken im Webserver - aber das betreffende root-Zugang-CGI-Script kann nachgebessert oder deaktiviert werden.

Nachdem bei der Version 2.30.174 dies offensichtlich durch WD ja bereits passiert ist, sollte WD doch in der Lage sein, die Änderung auch an alle anderen Geräte via Firmware-Update weiterzureichen. Somit ist es NICHT fraglich, ob WD was dagegen tun KANN, sondern ob WD was dagegen noch unternehmen WILL ...
 
Das Problem kannte ich schon. Ich hatte nach der Installation meines MyCloud unabhängig erhöhte Netzwerkaktivität ins Internet bemerkt, obwohl ich nach aussen hin gar keine Freigaben gemacht hatte. Deshalb habe ich dann den Router so programmiert, dass das MyCloud keinerlei Webzugriff mehr hat. Sofort war es wieder ruhig. Es muss uns klar sein, dass viele Hersteller von Netzwerkgeräten und Software eine Hintertüre eingebaut haben. Jeder dieser Jenigen wird solange versuchen, das geheim zu halten wie möglich, es abstreiten usw. Einige werden sogar behaupten es gelöst zu haben, ohne dass es wirklich gelöst ist, oder eine andere Hintertüre öffnen.Ja, es ist leider eine unehrliche Welt geworden.
 
@extracool: alle die dir ein Minus geben sind leider naive Menschen.
 
@WinGreen: nein. Sein Problem ist nicht DAS SELBE wie beschrieben.
 
Ich habe noch die ältere MyCloud Mirror mit der firmware 2.11.168. Für die gibt es auch noch kein neueres Update. Ist das gerät von der lücke nicht betroffen?
Kommentar abgeben Netiquette beachten!
Einloggen