Firmenlink

ESET

 

Sicherheitsforscher raten, Western Digitals NAS MyCloud vom Netz zu nehmen

Das deutsche Bundesamt in der Informationstechnik (BSI) warnt NAS-Anwender vor mehreren Schwachstellen in den Geräten der «WD MyCloud»-Serie.

von Simon Gröflin 08.03.2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt auf Twitter vor mehreren Schwachstellen, welche die Sicherheit der Anwender bei den MyCloud-NAS-Laufwerken gefährden. Das BSI beruft sich auf einen Bericht des Hacker-Blogs exploitee.rs. Gefährdet sind hauptsächlich Anwender, die übers Internet auf den heimischen Netzwerkspeicher zugreifen.

Eine Lücke geflickt, neue Lücke geöffnet

Dem Bericht zufolge liess sich bis anhin nicht nur bei einem Cookie der Anmeldevorgang mit Root-Rechten überschreiben, sondern auch Schadcode übers verwundbare Web-Interface ausführen. Der erste Schwachstelle wurde mittlerweile bereinigt, Western Digital hat aber nun möglicherweise beim Patchen eine weitere Lücke geöffnet. Zugrunde liegt ein unsauberes PHP-Script. Da die prüfende Login-Funktion falsch benutzt wird, können Hacker unautorisierte Logins erzwingen.

Auch das deutsche BSI warnt auf Twitter vor den NAS-Schwachstellen:

Besser auf Fernzugriff verzichten

Betroffen sind offenbar sämliche Modelle der MyCloud-Laufwerke. Da die Schwachstellen bereits veröffentlicht wurden, obwohl Western Digital die Lücken noch nicht vollständig gepatcht hat, sollten Anwender ihren NAS bis auf Weiteres nur im Heimbetrieb einsetzen, solange es keinen neuen Patch gibt. Der Grund, warum die Lücken früher veröffentlicht wurden, ist in der Nachlässigkeit des Herstellers zu suchen. WD zeigte sich in der Vergangenheit diesbezüglich nicht immer sehr kooperativ. 

Betroffene Geräte

Von den Sicherheitslücken betroffen sind laut dem Hacker-Blog die Produkte My Cloud, My Cloud Gen 2, My Cloud Mirror, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100.

Betroffene sollten die Geräte vorläufig nicht übers Internet betreiben.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.