My Cloud: Backdoor in Netzwerkspeichern von Western Digital

WD MyCloud angreifbar

WD MyCloud angreifbar - Bild: © Depositphotos.com/Frank-Peters (Frank Peters)

Update – Freitag 12.01.2018
Western Digital hat bereits reagiert und im November 2017 mit dem Firmware-Update v2.30.172 die Lücken und die Backdoor behoben. Nutzern rät Western Digital zu einem zeitnahem Update

Einige Netzwerkspeicher der Firma Western Digital, genauer: die MyCloud Geräte, sind aktuell aufgrund einer Lücke angreifbar.
Die gravierendste Lücke, ist nach Aussagen der Sicherheitsforscher, die die Lücken entdeckt haben, ein fest eingerichtete Admin Account. Dieser ist aktiviert und lässt sich nicht deaktivieren.
Somit kann jeder, der Zugriff auf das Gerät hat alle Daten auf dem Speicher abgreifen. Dies kann auch per Zugriff über das Internet erfolgen.
Die Forscher haben die entsprechenden Zugangsdaten auch in Ihrem Bericht vermerkt.
Laut ihrer Aussage, meldeten sie die Probleme Western Digital bereits Mitte vergangenen Jahres. Western Digital soll den Eingang dieser Information bestätigt haben, und um 90 Tage Zeit vor Veröffentlichung gebeten haben. Ein Update ist bisher noch nicht veröffentlicht worden.

Zu den Betroffenen Geräten zählen:

  • MyCloud <= 2.30.165
  • MyCloudMirror <= 2.30.165
  • My Cloud Gen 2
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Laut GulfTech nicht verwundbar: MyCloud 04.X Series

Bis ein Update veröffentlicht wird empfiehlt es sich daher, das NAS von WD vom Internet abzukapseln, sofern es daran angeschlossen ist. -> Siehe Update.

Weitere Lücken

Zu den weiteren entdeckten Sicherheitslücken zählen ein Remote Code Exploit, der nach dem Upload root Zugriff per Remote Shell erlaubt.
Daneben lässt sich auch ein Denial of Service Angriff erfolgreich auf die MyCloud Geräte durchführen.
Auch eine etwas weniger gravierendere Lücke ist vorhanden: Ein Angreifer kann sich eine Liste aller Nutzer mit detaillierten Benutzerinformationen ausgeben lassen. Ein einfacher Aufruf an den Webserver ist dazu schon ausreichend.

Details zu den Sicherheitslücken finden sich hier: http://gulftech.org/advisories/WDMyCloud%20Multiple%20Vulnerabilities/125