News 08.03.2017, 09:49 Uhr

Sicherheitsforscher raten, Western Digitals NAS MyCloud vom Netz zu nehmen

Das deutsche Bundesamt in der Informationstechnik (BSI) warnt NAS-Anwender vor mehreren Schwachstellen in den Geräten der «WD MyCloud»-Serie.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt auf Twitter vor mehreren Schwachstellen, welche die Sicherheit der Anwender bei den MyCloud-NAS-Laufwerken gefährden. Das BSI beruft sich auf einen Bericht des Hacker-Blogs exploitee.rs. Gefährdet sind hauptsächlich Anwender, die übers Internet auf den heimischen Netzwerkspeicher zugreifen.

Eine Lücke geflickt, neue Lücke geöffnet

Dem Bericht zufolge liess sich bis anhin nicht nur bei einem Cookie der Anmeldevorgang mit Root-Rechten überschreiben, sondern auch Schadcode übers verwundbare Web-Interface ausführen. Der erste Schwachstelle wurde mittlerweile bereinigt, Western Digital hat aber nun möglicherweise beim Patchen eine weitere Lücke geöffnet. Zugrunde liegt ein unsauberes PHP-Script. Da die prüfende Login-Funktion falsch benutzt wird, können Hacker unautorisierte Logins erzwingen.
Auch das deutsche BSI warnt auf Twitter vor den NAS-Schwachstellen:
Several vulns in Western Digital MyCloud NAS, e. g. auth bypass, code execution etc. Protect your MyCloud NAS until patches are available. https://t.co/uPnHo9K4S8
— CERT-Bund (@certbund) 6. März 2017

Besser auf Fernzugriff verzichten

Betroffen sind offenbar sämliche Modelle der MyCloud-Laufwerke. Da die Schwachstellen bereits veröffentlicht wurden, obwohl Western Digital die Lücken noch nicht vollständig gepatcht hat, sollten Anwender ihren NAS bis auf Weiteres nur im Heimbetrieb einsetzen, solange es keinen neuen Patch gibt. Der Grund, warum die Lücken früher veröffentlicht wurden, ist in der Nachlässigkeit des Herstellers zu suchen. WD zeigte sich in der Vergangenheit diesbezüglich nicht immer sehr kooperativ. 

Betroffene Geräte

Von den Sicherheitslücken betroffen sind laut dem Hacker-Blog die Produkte My Cloud, My Cloud Gen 2, My Cloud Mirror, My Cloud PR2100, My Cloud PR4100, My Cloud EX2 Ultra, My Cloud EX2, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 und My Cloud DL4100.
Betroffene sollten die Geräte vorläufig nicht übers Internet betreiben.

Autor(in) Simon Gröflin



Kommentare
Es sind keine Kommentare vorhanden.