Sicherheitswarnung – Netzwerkspeicher (Western Digital)

VonHolger Schwarz

Sicherheitswarnung – Netzwerkspeicher (Western Digital)

Zurzeit existieren mehrere Schwachstellen in bestimmten Netzwerkspeichern (NAS) der „My Cloud“ Reihe von Western Digital. Die Firmware zahlreicher Modelle ermöglicht unter anderem das Login mit „default“ Zugangsdaten, die in der Firmware hinterlegt sind. Eine Aktualisierung der Firmware durch den Hersteller steht aus.

Sicherheitsforscher von GulfTech weisen darauf hin, dass bestimmte Netzwerkspeicher (NAS) der „My Cloud“ Serie schwerwiegende Schwachstellen und eine „eingebaute“ Hintertür aufweisen. Dadurch können sich Angreifer über das Internet mit administrativer Rechten am Netzwerkspeicher anmelden. Die Zugangsdaten sind in der Firmware hinterlegt und können von den Benutzern nicht geändert werden. Die Zugangsdaten sind von GulfTech veröffentlicht.

Gemäß GulfTech weiß Western Digital bereits seit Juni 2017 von den Schwachstellen, hat aber bis heute nicht mit einem Update reagiert. Betroffene Systeme sollten daher nicht mit dem Internet verbunden werden.

Betroffene Systeme gemäß GulfTech:

  • MyCloud-Firmware-Versionen bis einschließlich 2.30.165
  • MyCloudMirror bis einschließlich 2.30.165
  • My Cloud Gen 2
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Update 15.01.2018:

golem.de berichtet über die mittlerweile geschlossene Sicherheitslücke.

Über den Autor

Holger Schwarz administrator

Jahrgang 1974 und seit 1998 selbstständig im Bereich Informationstechnologie. Zuerst für größere Unternehmen europaweit im Bereich Beratung und Schulung von Microsoft Produkten, Lotus Notes, Sicherheitslösungen und Internetentwicklung tätig, verlagerte sich der Schwerpunkt über Rollout-Projekte und Coaching hin zum heutigen Schwerpunkt, der selbstständigen Beratung und Betreuung von kleinen und mittleren Unternehmen.

Hinweis: Mit dem Schreiben eines Kommentars nehmen Sie unsere Datenschutzerklärung zur Kenntnis und erklären sich mit der Speicherung der angegebenen, personenbezogener Daten einverstanden. Sie können einen beliebigen Nutzernamen (Pseudonym) und eine beliebige E-Mail-Adresse angeben. Ihre E-Mail-Adresse wird nicht veröffentlicht. Bitte beachten Sie, dass uns die E-Mail-Adresse zur Verifizierung bei Anfragen zu Auskunft, Sperrung und Löschung gemäß DSGVO dient und Sie unter dieser Adresse erreichbar sind. Ihr Kommentar wird manuell überprüft und freigeschaltet. Wir speichern keine IP-Adressen zu Kommentaren.

Kommentar: