Hintergrund
6438

Sicherheitswarnung für WD MyCloud: Die Geräte sind unsicher, hier die Alternativen

Dominik Bärlocher
12.1.2018

Die simplen Speicherlösungen für Heimanwender aus dem Hause Western Digital sind unsicher. Jeder kann sich mit einem einfachen Trick Zugang zu deinen Daten verschaffen. Der Fall zeigt, wie gut Hacker und Firmen zusammenarbeiten können.

Doch zuerst: Wenn du eines der folgenden Geräte besitzt oder kaufen willst, dann bist du in Gefahr.

Wie Hacker mit Firmen kooperieren

Am 6. Oktober 2017 hat James die Lücken entdeckt. Diese hat er umgehend dem Hersteller gemeldet. «Hersteller über Kontaktform auf Website kontaktiert», schreibt der Information Security Researcher. Er habe zwei Tage später Antwort erhalten, dass er seine Findings dem Product Security Incident Response Team (PSIRT) mitteilen soll. Hat er umgehend getan.

Daraufhin hat das PSIRT bei WD die Lücken unabhängig von den Findings des Hackers überprüft und bestätigt. Samuel Brown von WD habe sich einen Tag, also am 13. Oktober, bei James gemeldet. Samuel habe bestätigt, dass die Lücken real sind. Drei Tage später meldet sich der Hersteller wieder bei James.

Western Digital und James Bercegay einigen sich auf das Modell der Responsible Disclosure. Das bedeutet, dass InfoSec und Hersteller sich auf eine Frist einigen. Während dieser Frist bleibt der Hacker stumm und der Hersteller versucht, die Schwachstellen softwareseitig zu beheben.

Nach 79 Tagen aber, also noch vor Ablauf der Frist, macht James Bercegay seine Findings öffentlich, wohl weil Western Digital ein Software Update publiziert hat, das die Schwachstellen behebt. Ob James eine Bug Bounty, also Geld für das Entdecken der Schwachstelle, erhalten hat, ist unbekannt.

Die Schwachstellen im Detail

James Findings haben es aber in sich. Denn sie zeichnen kein besonders gutes Bild der Software Version 2.30.165 oder älter. Er hat folgende Bugs festgestellt

  • Pre Auth Remote Root Code Execution: Ein Hacker kann Code mit Administratorenrechten auf dem Gerät ausführen, noch bevor er sich mit Usernamen und Passwort hat einloggen müssen
  • Hardcoded Admin Credentials: Im Code der WD Software ist ein Administratorenpasswort fix hinterlegt, das der Nutzer nicht ändern kann. Das Passwort liegt im Klartext vor.

BeimPre Auth Remote Code Execution handelt es sich nicht nur um eine Schwachstelle, sondern um die Verkettung von mehreren Lücken, Code-Elementen und der Manipulation von Anfragen. Die Kombination aus all diesen Aktionen führt dazu, dass ein Benutzer Befehle auf den WD MyClouds ausführen kann, ohne sich auf dem Gerät anmelden zu können.

Der Begriff Pre Auth Remote Code Execution ist ebenfalls eine Verkettung von Deskriptoren.

  • Pre Auth: Pre Authentication, also vor der Authentifizierung
  • Remote: Von externer Stelle aus
  • Code Execution: Beliebiger Code kann ausgeführt werden

Das heisst also, dass ein Angreifer von einem beliebigen Ort aus, ohne Username und Passwort zu kennen, beliebige Programmbefehle ausführen kann. Alles in allem ist das etwas, was du sicher nicht willst.

Der Teil mit dem Entfernen ist im Falle der MyCloud-Produkte Western Digitals untergegangen. Daher kannst du dich locker mit folgenden Daten in so ziemlich jedes Gerät einloggen.

  • Username: mydlinkBRionyg
  • Passwort: abc12345cba

Diese Daten kannst du nicht ändern, geschweige denn darauf zugreifen.

Was kann ich tun? Bin ich nun verdammt?!

Du hast zu Hause eine WD MyCloud. Tja, dann hast du ein Problem. Kein übermässig grosses, aber ein Problem. Die Lösung des Problems ist einfach: Update der Software. Denn dank der Responsible Disclosure hat Western Digital das Problem beheben können, bevor es öffentlich gemacht und eventuell breit ausgenutzt wurde.

Alles, was du tun musst, ist die Software deiner MyCloud auf eine Version zu aktualisieren, die höher liegt als 2.30.165. Eine Stichprobe für die Geräte der EX-4-Serie zeigt, dass die aktuelle Software bei Redaktionsschluss Version 2.30.174 ist.

Wenn du die Schnauze voll von WD hast und ein anderes NAS willst, dann empfiehlt dir unser Produktmanagement folgende Modelle:

Allgemein etwas zur Bedrohungslage. Klar, immer gibt es mal wieder irgendwelche Schwachstellen in Geräten, die bei dir zu Hause stehen. Das wird sich so schnell nicht ändern. Aber trotzdem droht dir nicht unmittelbare Gefahr. Der Grund liegt darin, dass du höchstwahrscheinlich keine Person von grossem globalen Interesse bist. Du hast vielleicht ein paar Ferienfotos und etwas Musik.

Aber du bist keine Scarlett Johansson und kein Charlie Hunnam, die eventuell Nacktbilder von sich auf der MyCloud haben. Du bist auch kein Grosskonzern, der wichtige Geschäftsgeheimnisse auf der WD MyCloud hat. Und überhaupt: Wenn du eine Firma besitzt und alle deine Daten auf einer WD MyCloud abspeicherst, dann machst du grundsätzlich etwas falsch.

Das heisst aber nicht, dass dir deine Sicherheit egal sein darf. Denn die Remote Code Execution auf deinem NAS kann unter Umständen als Angriffsplattform für einen weiteren Hack genutzt werden. Oder jemand kann dir Daten unterjubeln, einfach nur, damit sie sicher auf einem Schweizer Server liegen.

So. Fertig. Bleib aktualisiert und stay safe!

64 Personen gefällt dieser Artikel

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.

Computing
Folge Themen und erhalte Updates zu deinen Interessen
Hintergrund

Interessantes aus der Welt der Produkte, Blicke hinter die Kulissen von Herstellern und Portraits von interessanten Menschen.

Alle anzeigen