Der niederländische Sicherheitforscher Remco Vermeulen hat vor einigen Tagen eine Schwachstelle in Western Digitals My Cloud-Lösung aufgedeckt. Diese ermöglicht den Zugriff auf die gespeicherten Daten ohne Kennwort. Ergänzung: Western Digital hat ein Firmware-Update herausgebracht.
Anzeige
Western Digital My Cloud
Western Digital My Cloud ist eine Reihe von persönlichen Network-Attached Storage-Geräten und Mehrzweck-Servern, die von der Western Digital Corporation entwickelt und vermarktet werden. Meine Cloud-Geräte sind in den Größen 2 TB, 3 TB, 4 TB und 8 TB erhältlich (siehe diese Western Digital-Webseite). Die Webseite zur Anmeldung an My Cloud findet sich hier.
Die Authentifizierungsschwachstelle
Die Western Digital My Cloud ist leider von einer Authentifizierungsschwachstelle betroffen. Ein nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um sich als Admin-Benutzer zu authentifizieren, ohne ein Passwort angeben zu müssen. Dies ermöglicht es dem Angreifer, die volle Kontrolle über das My Cloud-Gerät zu übernehmen.
Too long ago I disclosed a privilege escalation in #MyCloud . Here is the write-up: https://t.co/ZOmLQvGqpA It is still not fixed in the latest firmware #iotsec #howtoreachwd
— Remco Vermeulen (@RemcoVermeulen) 18. September 2018
Remco Vermeulen hat seine Erkenntnisse vor einigen Tagen hier veröffentlicht. Die Schwachstelle wurde wohl auch von exploitee.rs veröffentlicht. Der Meldung ist zu entnehmen, dass Vermeulen die Schwachstelle vor fast einem Jahr gemeldet hat. Bei Western Digital ist aber nichts passiert, so dass die Information veröffentlicht wurde.
Anzeige
Hi @Exploiteers, we're aware of the vulnerabilities reported by Securify. We are in the process of finalizing a scheduled firmware update that will resolve the issue, which doesn't affect the My Cloud Home drive. Get more info on our blog, here: https://t.co/hKtWb1CbYD
— Western Digital (@westerndigital) 19. September 2018
Der der Veröffentlichung hat sich Western Digital in obigem Tweet gerührt und gibt bekannt, dass man an einem Firmware-Update arbeite (hat aber wohl nichts mit My Cloud Home zu tun).
Das Problem
Wenn ich Remco Vermeulen richtig verstanden habe, wird, wann immer sich ein Administrator authentifiziert, wird eine serverseitige Sitzung erstellt, die an die IP-Adresse des Benutzers gebunden ist. Nach dem Aufbau der Sitzung ist es möglich, authentifizierte CGI-Module durch Senden des Cookies username=admin in der HTTP-Anfrage aufzurufen. Das aufgerufene CGI prüft, ob eine gültige Sitzung vorhanden ist und an die IP-Adresse des Benutzers gebunden ist.
Vermeulen hat nun festgestellt, dass es für einen nicht authentifizierten Angreifer möglich ist, eine gültige Sitzung zu erstellen, ohne dass eine Authentifizierung erforderlich ist. Das CGI-Modul network_mgr.cgi enthält einen Befehl namens cgi_get_ipv6, der eine Admin-Sitzung startet. Diese ist an die IP-Adresse des Benutzers gebunden, der die Anfrage stellt, wenn er mit dem Parameterflag gleich 1 aufgerufen wird. Ein späterer Aufruf von Befehlen, die normalerweise Admin-Rechte erfordern würden, ist nun erlaubt, wenn ein Angreifer das Cookie username=admin setzt. Vermeulen hat hier ein Proof of Concept (PoC) sowie weitere Details veröffentlicht.
Wenn ich es richtig verstanden habe, ist das (wegen der gleichen IP) nur lokal ausnutzbar. Einen Patch scheint es noch nicht zu geben. Frage: Jemand von Euch, der My Cloud verwendet? Danke an Al CiD für den Stupser, hatte es bereits gesehen, aber zu viel anderes Zeugs auf dem Stack.
Ergänzung: heise.de berichtet hier, dass Western Digital ein Firmware-Update 2.30.196 auf die Version freigegeben hat, die diese Schwachstelle (CVE-2018-17153) schließt. Details gibt es auf dieser WD-Seite.
Anzeige
Ich habe so ein Gerät, ist wohl die erste Variante (2015 gekauft), habe aber kein Passwort vergeben, somit kann ich es nicht testen. Es ist auch nicht immer am Netz. Ziel war mein Home-Büro zu vernetzen und damit bisschen zu probieren, auch als Datensicherungsgerät. Bei Win7 mit den Bordmittteln kann man zwar Datensicherung damit machen, das Rückspielen davon ging aber nicht. Da musste ich alles auf separate USB-Festplatte kopieren und dann ging es.
Wenn man das Ding so eingerichtet hat, dass es sich nach gewisser Zeit abschaltet, dann ist auch Sicherheit. Dann ist es faktisch vom Netz und kann meines Erachtens nur über das Home-Netz am PC wieder zum Leben erweckt werden. Über das Internet geht es nicht, da ja nicht da. Ich habe es mal ausprobiert mit einem PC auf den die Software dafür nicht installiert war. Es geht dann nicht.
Danke für den Hinweis. Mal sehen was WD dazu sagt. Aber eigentlich habe ich mir so was schon gedacht nach dem Motto "Misstrauen ist der Optimismus des PC-Besitzer".
Herzlichen Dank für die wichtige Information!
Ich verwende sogar zwei WD MyCloud Systeme.
a) WD MyCloud Mirror System.
Die letzte Firmware stammt vom Sonntag, 20. Mai 2018 und trägt die Version: 2.30.193
b) WD MyCloud (ohne Mirror) mit Firmware vom Dienstag, 15. Mai 2018
"WDMyCloud v04.05.00-327 : Core F/W"
Es sieht also nach einer bestehenden Lücke aus, sowohl auf MyCloud Mirror wie auch auf dem WD MyCloud System mit nur einer Festplatte. Die Firmware beider Systeme scheint letztmals Mitte Mai aktualisiert worden zu sein.
Tatsächlich habe ich mich auf diesen WD Servern nie so sicher gefühlt wie auf meinem Synology Server. Daher sind wichtigere Dinge vor allem dort gespeichert. Allerdings muss ich jetzt schauen wie ich weiter vorgehe bei solchen WD Produkten, es herrscht durchaus Handlungsbedarf.
komisch ich habe am 11.06.2018 für My Cloud Mirror die Firmware auf Version 2.11.176 aktualisiert. Es gibt auch keine Neuere. Ich habe das von zwei Wochen erneut geprüft. Ich schaue mal.
kommt vielleicht drauf an welche Hardware Version man gekauft hat. Es gibt die Mirror ja schon länger. Ich glaube ich habe eine Gen2 Version, weiss aber nicht wo man das in den Systemeinstellungen oder anderswo nachschauen kann.
Meine Firmware Version: 2.30.193
Ihre Version: 2.11.176 (vielleicht eine Gen 1 Hardware?)
Wie auch immer, etwas ganz Aktuelles gibt's offenbar überall nicht.
Genau, ich habe die davor. Da gibt es keine neue. Ich habe gestern auch alles noch mal neu geprüft.
Ich bin jetzt mal auf den Link von Günter gegangen zu –
"Die Webseite zur Anmeldung an My Cloud findet sich hier …"
Das ist nicht die Home-Seite. Deshalb mE keine Probleme bei mir. Das habe ich ja gerade nicht gewollt und habe da auch nichts. Das ist dann ein anderes Thema.
ME muss man da je nach Bedarf und eigene Einrichtung des Systems "My Cloud Mirror" trennen.
Bei mir ist der Online-Zugriff auf das Benutzer-Konto beschränkt.
Das Administrator-Konto geht nur über das eigene Hausnetzwerk, in das man nur über den Lan kommt. Das W-Lan hat ein Passwort und zusätzlich eine Mac-Sperre.
Ob das hier geht bezweifle ich weil man ja über einen PC im Netzwerk angemeldet sein muss.
den Online Zugriff habe ich bei mir auch nicht auf einem WD Cloud System eingerichtet, habe auch nur internes Netz.
Allerdings werden vermutlich sehr viele Nutzer solcher Geräte von Western Digital den Zugang für ihr Mobiltelefon aktiviert haben. Ich denke das machen vor allem junge Leute.
Sowas würde ich (wenn überhaupt mit privater Cloud) nur mit einer eigenen Synology NAS machen, da deren Betriebssystem gut gepflegt wird und regelmässig security patches erhält.
Beachtet den Nachtrag zum Firmware-Update von WD.
Also ich habe eine 16TB Mycloudmirror mit neuester software (update vor 3 Tagen). Alle PC und Tablet/Smartphone Zugriffe erfolgen normal, mit Passwortaufforderung wenn nötig.
Wenn ich aber mit einer der TV-Topboxen im Heim-Netzwerk nach Videos, Fotos oder Musik suche, habe ich direkten Zugriff auf alle nicht öffentliche Ordner ohne Passwortaufforderung. Das kann doch nicht sein.
Zufällig habe ich herausbekommen, dass es neue Firmware gibt.
Ich habe "My Coud Mirror". Bei "My Cloud Mirror Gen 2" gibt es wohl seit Mai 2019 neues.
Klicke ich bei den Einstellungen, so zeigt er mir immer an, dass die Firmware aktuell ist.
Die neue Firmwareversion lautet 2.12.127 und als Datum steht 01/0872019. Das wäre ja 01. August 2019. Ich installiere diese jetzt manuell.
Es werden Sicherheitslücken geschlossen.
Das ganze kann man u.a. hier:
https://support-en.wd.com/app/products/product-detail/p/136#WD_specifications
und hier:
https://support.wdc.com/downloads.aspx?g=907&lang=en#firmware
nachlesen. bei den anderen Gerätetypen muss man unter "Produkt" dann suchen.
Wie man manuell die Firmware einspielt steht u.a. hier:
https://support-en.wd.com/app/answers/detail/a_id/6546/related/1
Siehe auch die obigen Links von Günter im Text.
Ich Dummerle. Das Datum 01/08/2019 ist 08. Januar 2019. Die Amis mit dem Datum, in GB ist es wieder anders.