/ Security / Sicherheitsforscher raten dazu, Western Digitals NAS MyCloud zu verrammeln

Sicherheitsforscher raten dazu, Western Digitals NAS MyCloud zu verrammeln

Moritz Rosenfeld on March 7, 2017 - 12:20 pm in Security

Aufgrund diverser Schwachstellen könnten Angreifer sich zum Beispiel mit vergleichsweise wenig Aufwand als Admin anmelden, warnen Sicherheitsforscher. Patches stehen noch aus.

Verschiedene Geräte der Netzwerkspeicher-Reihe My Cloud von Western Digital sind verwundbar. Sicherheitsforscher von Exploitee sind eigenen Angaben zufolge auf 85 Bugs gestoßen, die die Sicherheit der Netzwerkspeicher zum Teil erheblich gefährden. In ihrer Warnung listen sie betroffene Geräte auf.

Aktuell hat Western Digital noch nicht mit Updates für die betroffenen Geräte reagiert. Die Antwort auf eine Anfrage von heise Security steht noch aus. Bis der Hersteller die My-Cloud-Serie absichert, raten die Sicherheitsforscher dazu, vor allem den Zugriff auf Geräte über das Internet zu unterbinden.

Im Nu zum Admin

Nutzen Angreifer die Lücken aus, sollen sie sich etwa aus der Ferne ohne Authentifizierung als Admin anmelden können. Zudem ist es möglich, dass Angreifer während eines Übergriffs Dateien auf ein NAS kopieren und eigene Kommandos aus der Ferne ausführen. Daran sind den Sicherheitsforschern zufolge in erster Linie nicht optimal geschriebene PHP-Skripte schuld.

So sollen Angreifer etwa einen Cookie mit der Angabe isAdmin = 1 anlegen können, um die Authentifizierung zu umgehen. Anschließend kann man laut Exploitee mit Admin-Rechten auf einen betroffenen Netzwerkspeicher zugreifen.

Bugs frühzeitig offengelegt

Die Sicherheitsforscher dokumentieren die Lücken ausführlich – inklusive Ansatzpunkte für Übergriffe in Skripten und dazu passendem Proof-of-concept-Code. Damit und der Veröffentlichung bevor Western Digital Patches geliefert hat, will Exploitee den Hersteller unter Druck setzen.

Ihr Vorgehen begründen sie damit, dass Western Digital den Ruf hat, nicht zeitnah auf Sicherheitslücken in eigenen Produkten zu reagieren. Dafür hat der Hersteller bereits einen Negativ-Preis bei den Pwnie Awards erhalten. (des)

Read more on: Source

Comments are disabled