NAS-Reihe MyCloud von Western Digital weist zahlreiche Sicherheitslücken auf

Experten des Sicherheitsanbieters Exploitee haben auf zahlreiche, teilweise gravierende Sicherheitslücken in NAS-Produkten von Western Digitalhingewiesen. Offenbar ist davon die Firmware der gesamten Produktreihe MyCloud betroffen. Bei ihr sei es unter anderem möglich, die Passwortabfrage zu umgehen und dann ohne gültige Anmeldedaten aus der Ferne auf die Netzwerkspeicher zuzugreifen.

Möglich ist das aufgrund von Fehlern in den PHP-Skripten, mit denen Western Digital überprüft, ob ein Nutzer angemeldet ist. Dort lassen sich Argumente zu einer Funktion hinzufügen, die einen Nutzer ohne Passwortabfrage zu einem angemeldeten Nutzer machen. Exploitee kritisiert auch, dass nur anhand der IP-Adresse und einem Log-in-Timeout überprüft wird, ob ein Nutzer bereits angemeldet ist.

Das Unternehmen listet 13 weitere Bugs auf, die es nicht autorisierten Nutzern erlauben, aus der Ferne Schadcode einzuschleusen und auszuführen. Weitere 70 Schwachstellen erlauben das nur nach vorheriger Anmeldung. Allerdings könnten auch diese Schwachstellen aufgrund der Log-in-Bypass-Lücke ebenfalls ohne Eingabe eines Nutzernamens oder Passworts ausgenutzt werden. Eine weitere Schwachstelleerlaubt es Unbefugten, aus der Ferne Dateien auf einem MyCloud-NAS abzulegen. Dazu legen die Forscher sogar den erforderlichen Exploit-Code vor.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Die nun aufgedeckte Lücke steckt laut Exploitee in einem kürzlich bereitgestellten Software-Update von Western Digital. Das sollte eigentlich eine ältere Lücke beseitigen, die ebenfalls die unbefugte Anmeldung ohne Passwort ermöglicht. Damit sind nun über 80 Sicherheitslücken in NAS-Produkten von Western Digital ungepatcht.

“Normalerweise versuchen wir mit Anbietern zusammenzuarbeiten, um sicherzustellen, dass Abfälligkeiten korrekt veröffentlicht werden”, erklären die Forscher. In diesem Fall habe man sich jedoch entschlossen, vor der Bereitstellung von Patches an die Öffentlichkeit zu gehen, um Nutzer darauf aufmerksam zu machen, ihnen die Möglichkeit zu geben, die Zugänge zu ihren Geräten zu schließen und soweit wie möglich die Zugriffe darauf einzuschränken. Grund dafür sei das behäbige Patch-Verhalten von Western Digital. Mit der Veröffentlichung der Lücken soll der Druck auf den Hersteller erhöht werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Redaktion

Recent Posts

Handel: Ein Drittel setzt auf Modernisierung der IT-Infrastruktur

Über die nötige IT-Infrastruktur für Onlineshops und Mobile Apps verfügen laut Umfrage von Techconsult längst…

2 Tagen ago

Fortinet: Cybersicherheit mit Zero Trust und SASE

„Security ist kein statischer Zustand. Die Angreifer modifizieren permanent ihre Methoden", warnt Michael Weisgerber, Cybersecurity…

2 Tagen ago

Sesselwechsel bei der Telekom

Klaus Werner (55) übernimmt zum 14. Oktober 2023 die Verantwortung als Geschäftsführer Geschäftskunden bei der…

2 Tagen ago

KI am Krankenbett – will Deutschland das?

Die meisten Deutschen setzen große Hoffnungen in den Einsatz von KI im Gesundheitswesen. 81 Prozent…

2 Tagen ago

Studie: Bisher überwiegt KI-Einsatz in Produktion und Logistik

Die Steinbeis Augsburg Business School hat gefragt, wo der Mittelstand den Einsatz von Künstlicher Intelligenz…

3 Tagen ago

3rd-Party-Risiko in der IT-Sicherheit

Wissen Sie, ob die Systeme ihrer Partnerunternehmen sicher sind, fragt IT-Sicherheitsexperte Thomas Kress.

3 Tagen ago