Falls Ihr ein NAS (Network attached Storage) der "My Cloud" Serie des Herstellers Western Digital / WD im Einsatz habt, so solltet Ihr Euch sofort damit beschäftigen wie Ihr das Betriebssystem dieser Geräte updaten könnt, denn diese Geräte besitzen eine schwerwiegende Sicherheitslücke in Form einer herstellerseitigen Hintertüre, auch "Backdoor" genannt.
Backdoor in WD My Cloud NAS Systemen
Diese Backdoor erlaubt es JEDEN Angreifer sich unter dem Nutzernamen "mydlinkBRionygwith" mit dem Passwort "abc12345cba" auf das WD My Cloud System einzuloggen.
Der Hersteller WD vermarktet die My Cloud Serie seiner NAS Systeme vorrangig an Nutzer die eine File-Sharing und Backup-Lösung für Ihre Daten suchen. Einige dieser Modelle mit eingebauter Hintertür verfügen über Einschubschächte für vier Festplatten und somit eignen sich diese Modelle auch sehr gut für den Einsatz in Kleinen- und Mittelständischen Betrieben oder Abteilungen. Zudem verfügen diese Modelle auch über die Möglichkeit als iSCSI Konfiguration ausgestattet zu werden und sind somit in der Lage auch virtuelle Server zu unterstützen. Wenn man sich jetzt noch vor Augen hält, dass einige dieser Systeme bis zu einer maximalen Kapazität von 40 TB hochgerüstet werden können und somit quasi ideal geeignet sind um große Datenbanken zu speichern, dann bekommt man eine Ahnung davon wie kritisch diese Hintertüre zu bewerten ist.
Schwerwiegende und gefährliche Hintertür in My Could NAS Systemen
Im Benutzernamen findet sich die Bezeichnung "dlink". D-Link ist ein Unternehmen was ebenfalls NAS Systeme produziert und gemäß des Entdeckers dieser Lücke finden sich "Referenzen zu Dateinamen und Verzeichnisstrukturen die auf ein D-Link Gerät schließen lassen, jedoch auch perfekt zu einem WDMyCloud Gerät passen". Hierbei handelt es sich um einen D-Link DNS-320L mit exakt der selben Backdoor und exakt der gleichen Sicherheitslücke hinsichtlich Datenuploads wie bei den betroffenen Geräten der WDMyCloud Serie. Es sieht also danach aus als dass die MyCloud Software einen ähnlichen Code wie die DNS-320L von D-Link verwendet, inkl. Hintertüre ab Werk und den gleichen Anfälligkeiten für Sicherheitslücken.
Der Hersteller D-Link gibt hierzu an, dass der DNS-320L im July 2014 (fw rev. 1.0.6) gepatched wurde. Western Digital Nutzer können die Backdoor durch die Installation der Firmware 2.30.174 oder später komplett schließen, wozu wir von KUERT Datenrettung auch dringend raten würden.
Backdoor / Hintertür in Speicherlösungen - Nichts wirklich ungewöhnliches
Werksseitig eingebaute Hintertüren in NAS Speicherlösungen sind eigentlich nichts Neues. NAS Systeme des Herstellers Cisco werden bspw. von QNAP produziert und in der Vergangenheit hatten selbst schwergewichtige Tape-Libraries von HP Sicherheitslücken oder ähnliche und aus Supportgründen implementierte versteckte Logins. Natürlich ohne die Nutzer darüber in Kenntnis zu setzen und teilweise ausgestattet mit sehr simplen Logins und Passwörtern, mit sehr einfach zu entschlüsselnden Hash-Werten.
Betroffene Versionen der WD MyCloud Serie bei denen ein Update auf eine Firmware >=2.30.174 dringend empfohlen ist:
- MyCloud
- MyCloud Mirror
- My Cloud Gen 2
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX2 Ultra
- My Cloud EX2
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
Wichtig zu wissen: Alle Produkte mit einer Firmware 4.x sind von der Backdoor NICHT betroffen.
WD Datei-Upload Fehler
WD MyCloud Systeme beinhalten noch eine Sicherheitslücke die in er multi_uploadify.phpfunction liegt. Angreifer die einen Fehler in der Handhabeung der "gethostbyaddr()"-Funktion ausnutzen, können einen Post-Request absetzen der eine Datei zum Upload beinhaltet indem sie den Parameter "Filedata[0]" verwenden. Hierdurch kann ein Angreifer eine PHP Web Shell auf das zu kompromittierende Gerät schleusen, den URI zur Backdoor abfragen und hierdurch das System angreifen.