Western Digital My Cloud ohne Passwort erreichbar

Der niederländische Sicherheitforscher Remco Vermeulen hat vor einigen Tagen eine Schwachstelle in Western Digitals My Cloud-Lösung aufgedeckt. Diese ermöglicht den Zugriff auf die gespeicherten Daten ohne Kennwort. Ergänzung: Western Digital hat ein Firmware-Update herausgebracht.


Anzeige

Western Digital My Cloud

Western Digital My Cloud ist eine Reihe von persönlichen Network-Attached Storage-Geräten und Mehrzweck-Servern, die von der Western Digital Corporation entwickelt und vermarktet werden. Meine Cloud-Geräte sind in den Größen 2 TB, 3 TB, 4 TB und 8 TB erhältlich (siehe diese Western Digital-Webseite). Die Webseite zur Anmeldung an My Cloud findet sich hier.

Die Authentifizierungsschwachstelle

Die Western Digital My Cloud ist leider von einer Authentifizierungsschwachstelle  betroffen. Ein nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um sich als Admin-Benutzer zu authentifizieren, ohne ein Passwort angeben zu müssen. Dies ermöglicht es dem Angreifer, die volle Kontrolle über das My Cloud-Gerät zu übernehmen.

Remco Vermeulen  hat seine Erkenntnisse vor einigen Tagen hier veröffentlicht. Die Schwachstelle wurde wohl auch von exploitee.rs veröffentlicht. Der Meldung ist zu entnehmen, dass Vermeulen die Schwachstelle vor fast einem Jahr gemeldet hat. Bei Western Digital ist aber nichts passiert, so dass die Information veröffentlicht wurde.

Der der Veröffentlichung hat sich Western Digital in obigem Tweet gerührt und gibt bekannt, dass man an einem Firmware-Update arbeite (hat aber wohl nichts mit My Cloud Home zu tun).

Das Problem

Wenn ich Remco Vermeulen richtig verstanden habe, wird, wann immer sich ein Administrator authentifiziert, wird eine serverseitige Sitzung erstellt, die an die IP-Adresse des Benutzers gebunden ist. Nach dem Aufbau der Sitzung ist es möglich, authentifizierte CGI-Module durch Senden des Cookies username=admin in der HTTP-Anfrage aufzurufen. Das aufgerufene CGI prüft, ob eine gültige Sitzung vorhanden ist und an die IP-Adresse des Benutzers gebunden ist.


Werbung

Vermeulen hat nun festgestellt, dass es für einen nicht authentifizierten Angreifer möglich ist, eine gültige Sitzung zu erstellen, ohne dass eine Authentifizierung erforderlich ist. Das CGI-Modul network_mgr.cgi enthält einen Befehl namens cgi_get_ipv6, der eine Admin-Sitzung startet. Diese ist an die IP-Adresse des Benutzers gebunden, der die Anfrage stellt, wenn er mit dem Parameterflag gleich 1 aufgerufen wird. Ein späterer Aufruf von Befehlen, die normalerweise Admin-Rechte erfordern würden, ist nun erlaubt, wenn ein Angreifer das Cookie username=admin setzt. Vermeulen hat hier ein Proof of Concept (PoC) sowie weitere Details veröffentlicht.

Wenn ich es richtig verstanden habe, ist das (wegen der gleichen IP) nur lokal ausnutzbar. Einen Patch scheint es noch nicht zu geben. Frage: Jemand von Euch, der My Cloud verwendet? Danke an Al CiD für den Stupser, hatte es bereits gesehen, aber zu viel anderes Zeugs auf dem Stack.

Ergänzung: heise.de berichtet hier, dass Western Digital ein Firmware-Update 2.30.196 auf die Version freigegeben hat, die diese Schwachstelle (CVE-2018-17153) schließt. Details gibt es auf dieser WD-Seite.


Anzeige

Dieser Beitrag wurde unter Onlinespeicher, Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Kommentare zu Western Digital My Cloud ohne Passwort erreichbar

  1. Dekre sagt:

    Ich habe so ein Gerät, ist wohl die erste Variante (2015 gekauft), habe aber kein Passwort vergeben, somit kann ich es nicht testen. Es ist auch nicht immer am Netz. Ziel war mein Home-Büro zu vernetzen und damit bisschen zu probieren, auch als Datensicherungsgerät. Bei Win7 mit den Bordmittteln kann man zwar Datensicherung damit machen, das Rückspielen davon ging aber nicht. Da musste ich alles auf separate USB-Festplatte kopieren und dann ging es.

    Wenn man das Ding so eingerichtet hat, dass es sich nach gewisser Zeit abschaltet, dann ist auch Sicherheit. Dann ist es faktisch vom Netz und kann meines Erachtens nur über das Home-Netz am PC wieder zum Leben erweckt werden. Über das Internet geht es nicht, da ja nicht da. Ich habe es mal ausprobiert mit einem PC auf den die Software dafür nicht installiert war. Es geht dann nicht.

    Danke für den Hinweis. Mal sehen was WD dazu sagt. Aber eigentlich habe ich mir so was schon gedacht nach dem Motto “Misstrauen ist der Optimismus des PC-Besitzer”.

  2. Andres Müller sagt:

    Herzlichen Dank für die wichtige Information!

    Ich verwende sogar zwei WD MyCloud Systeme.

    a) WD MyCloud Mirror System.
    Die letzte Firmware stammt vom Sonntag, 20. Mai 2018 und trägt die Version: 2.30.193

    b) WD MyCloud (ohne Mirror) mit Firmware vom Dienstag, 15. Mai 2018
    “WDMyCloud v04.05.00-327 : Core F/W”

    Es sieht also nach einer bestehenden Lücke aus, sowohl auf MyCloud Mirror wie auch auf dem WD MyCloud System mit nur einer Festplatte. Die Firmware beider Systeme scheint letztmals Mitte Mai aktualisiert worden zu sein.

    Tatsächlich habe ich mich auf diesen WD Servern nie so sicher gefühlt wie auf meinem Synology Server. Daher sind wichtigere Dinge vor allem dort gespeichert. Allerdings muss ich jetzt schauen wie ich weiter vorgehe bei solchen WD Produkten, es herrscht durchaus Handlungsbedarf.

    • Dekre sagt:

      komisch ich habe am 11.06.2018 für My Cloud Mirror die Firmware auf Version 2.11.176 aktualisiert. Es gibt auch keine Neuere. Ich habe das von zwei Wochen erneut geprüft. Ich schaue mal.

      • Andres Müller sagt:

        kommt vielleicht drauf an welche Hardware Version man gekauft hat. Es gibt die Mirror ja schon länger. Ich glaube ich habe eine Gen2 Version, weiss aber nicht wo man das in den Systemeinstellungen oder anderswo nachschauen kann.

        Meine Firmware Version: 2.30.193
        Ihre Version: 2.11.176 (vielleicht eine Gen 1 Hardware?)

        Wie auch immer, etwas ganz Aktuelles gibt’s offenbar überall nicht.

  3. Dekre sagt:

    Ich bin jetzt mal auf den Link von Günter gegangen zu –
    “Die Webseite zur Anmeldung an My Cloud findet sich hier …”
    Das ist nicht die Home-Seite. Deshalb mE keine Probleme bei mir. Das habe ich ja gerade nicht gewollt und habe da auch nichts. Das ist dann ein anderes Thema.

    ME muss man da je nach Bedarf und eigene Einrichtung des Systems “My Cloud Mirror” trennen.

  4. Herr IngoW sagt:

    Bei mir ist der Online-Zugriff auf das Benutzer-Konto beschränkt.
    Das Administrator-Konto geht nur über das eigene Hausnetzwerk, in das man nur über den Lan kommt. Das W-Lan hat ein Passwort und zusätzlich eine Mac-Sperre.
    Ob das hier geht bezweifle ich weil man ja über einen PC im Netzwerk angemeldet sein muss.

    • Andres Müller sagt:

      den Online Zugriff habe ich bei mir auch nicht auf einem WD Cloud System eingerichtet, habe auch nur internes Netz.

      Allerdings werden vermutlich sehr viele Nutzer solcher Geräte von Western Digital den Zugang für ihr Mobiltelefon aktiviert haben. Ich denke das machen vor allem junge Leute.

      Sowas würde ich (wenn überhaupt mit privater Cloud) nur mit einer eigenen Synology NAS machen, da deren Betriebssystem gut gepflegt wird und regelmässig security patches erhält.

  5. Werbung

  6. Günter Born sagt:

    Beachtet den Nachtrag zum Firmware-Update von WD.

  7. Julien SCHROEDER sagt:

    Also ich habe eine 16TB Mycloudmirror mit neuester software (update vor 3 Tagen). Alle PC und Tablet/Smartphone Zugriffe erfolgen normal, mit Passwortaufforderung wenn nötig.
    Wenn ich aber mit einer der TV-Topboxen im Heim-Netzwerk nach Videos, Fotos oder Musik suche, habe ich direkten Zugriff auf alle nicht öffentliche Ordner ohne Passwortaufforderung. Das kann doch nicht sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.