AKTUALISIEREN: Western Digital hat auf unsere Bitte um eine Erklärung reagiert, die wir nachfolgend veröffentlicht haben.

Sicherheitsforscher von Securify haben eine Sicherheitslücke in den My Cloud NAS-Boxen von Western Digital entdeckt, durch die Angreifer vollständige Kontrolle über ihren Inhalt erhalten. Der Exploit erfordert entweder ein lokales Netzwerk oder einen Internetzugriff auf ein My Cloud-Gerät, um ausgeführt zu werden und umgeht die üblichen Anmeldeanforderungen der NAS-Box.

Der Fehler mit dem Namen CVE-2018-17153 könnte potenziell auch Hijackern die Möglichkeit geben, Befehle auszuführen, für die normalerweise Administratorrechte erforderlich sind. Nach dem Zugriff können Hacker alle auf dem Gerät gespeicherten Dateien anzeigen, kopieren, löschen oder überschreiben.

Ihre Cloud kann angepasst werden

Laut Securify enthält das CGI-Modul network_mgr.cgi einen Befehl mit dem Namen cgi_get_ipv6, der eine Verwaltungssitzung startet, die an die IP-Adresse des Benutzers gebunden ist und die Anforderung stellt, wenn er mit dem Parameter-Flag gleich 1 aufgerufen wird Normalerweise müssen Administratorberechtigungen jetzt autorisiert werden, wenn ein Angreifer das festlegt Benutzername = Admin Plätzchen."

Wenn man sich durch die Fachsprache dreht, bedeutet das im Wesentlichen, dass WD My Cloud eine Verwaltungssitzung einrichtet, die mit einer IP-Adresse verbunden ist, die die Sicherheitsanfälligkeit erhöht. Fügen Sie einfach den Cookie hinzu Benutzername = Admin Auf eine HTTP-CGI-Anforderung, die über ein lokales Netzwerk oder eine Internetverbindung gesendet wird, kann jeder auf die auf der NAS-Box gespeicherten Inhalte zugreifen.

Securify hat das Problem im April mit Western Digital angesprochen, als der Fehler zum ersten Mal entdeckt wurde, jedoch nie von der Firma gehört wurde. Nach fünf Monaten Stille von WD hat Securify beschlossen, die Sicherheitsanfälligkeit öffentlich zu machen.

Wir haben Western Digital für einen Kommentar kontaktiert und das Unternehmen hat bestätigt, dass in Kürze ein Firmware-Update bereitgestellt wird, um das Problem zu beheben. "Wir sind gerade dabei, ein geplantes Firmware-Update abzuschließen, mit dem das gemeldete Problem behoben wird", antwortete WD in einer E-Mail. "Wir erwarten, das Update innerhalb weniger Wochen auf unserer technischen Support-Website unter https://support.wdc.com/ zu veröffentlichen."

  • Weiterlesen: WD My Passport Wireless SSD-Test