Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 
My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden

21.09.2018

 zur Newsdatenbank home

Seit anderthalb Jahren steht das Einsteiger-NAS My Cloud sperrangelweit offen. Den passwortlosen Login ermöglichen Exploits im Internet. Western Digital möchte nun Patches liefern.

Der Anmeldebildschirm von Western Digitals Einsteiger-NAS-Serie My Cloud kann einfach umgangen werden. Die seit eineinhalb Jahren im Internet zu findenden Exploits verschaffen einen Administratorzugang. Auf eine erneute Veröffentlichtung reagiert Western Digital mit der Ankündigung, ein Update bereitstellen zu wollen.

Bereits im April 2017 meldete Remco Vermeulen die Privilege-Escalation-Lücke an Western Digital. Bei der Endeckung der Schwachstelle war er nicht der einzige Sicherheitsforscher: Zenofex vom Projekt Exploitee.rs fand und meldete sie ebenfalls. Exploitee.rs stellte die Sicherheitslücke auf der Defcon 25 vor, da Western Digital nicht reagierte. Erst als Remco Vermeulen eine CVE-Nummer beantragte (CVE-2018-17153) und die Lücke erneut veröffentlichte, reagierte Western Digital mit der Ankündigung von Updates in einem Blog-Eintrag.

Seit Anfang 2017 ist die Sicherheitslücke öffentlich bekannt und kann ausgenutzt werden. Wird, um den Speicher von überall aus nutzen zu können, die von Western Digital beworbene Funktion, My Cloud mit dem Internet zu verbinden eingesetzt, können diesen auch alle anderen Internetnutzer verwenden und Dateien auslesen.

Mit Informationen aus dem Internet können auch zum jetzigen Zeitpunkt die Geräte übernommen werden. Ein Modul für die Pentesting-Software Metasploit wurde von Exploitee.rs veröffentlicht, mit dem die Angriffe automatisiert ausgespielt werden können.

In der Security-Szene hat der Speichermedienhersteller keinen guten Ruf. Auf der Sicherheitskonferenz Defcon wurde Western Digital mit dem Pwnie-Award in der Kategorie "Schlechteste Hersteller-Reaktion" ausgezeichnet. Bereits Anfang des Jahres wurde bekannt, dass Western Digitals My Cloud einen Backdoor-Account enthält. Die Hintertür wurde durch ein Update beseitigt. Zuvor war der gleiche Backdoor-Account bei dem Gerät D-Link DNS-320L gefunden worden, dass sich wohl die Firmware mit der My-Cloud-Serie teilt.

(hv, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89