Sicherheitswarnung für WD MyCloud: Die Geräte sind unsicher, hier die Alternativen
12.1.2018
Die simplen Speicherlösungen für Heimanwender aus dem Hause Western Digital sind unsicher. Jeder kann sich mit einem einfachen Trick Zugang zu deinen Daten verschaffen. Der Fall zeigt, wie gut Hacker und Firmen zusammenarbeiten können.
Western Digital, kurz WD, stellt unter anderem Festplatten und Speicherlösungen her, die Sicherheit und Komfort für Heimanwender bieten sollen. Damit steht der Hersteller im steten Clinch mit der Information-Security-Szene, denn laute Stimmen aus besagter Szene sind überzeugt, dass Sicherheit und Komfort unmöglich miteinander vereinbar sind. Jeder, der zwei Sekunden über dieses Argument nachdenkt, wird begreifen, dass es komplett defätistischer Unsinn ist, aber trotzdem. Laut ist laut.
Wie dem auch sei, James Bercegay von GulfTech Research and Development, hat sich den Code der WD MyClouds genauer angeschaut. Er hat gravierende Sicherheitslücken gefunden. Dies ist aber nicht neu. Denn James hat die Lücke bereits im Oktober des vergangenen Jahres entdeckt. In seinem Advisory beschreibt er in der Timeline, wie die sogenannte Disclosure abgelaufen ist.
Doch zuerst: Wenn du eines der folgenden Geräte besitzt oder kaufen willst, dann bist du in Gefahr.
Wie Hacker mit Firmen kooperieren
Am 6. Oktober 2017 hat James die Lücken entdeckt. Diese hat er umgehend dem Hersteller gemeldet. «Hersteller über Kontaktform auf Website kontaktiert», schreibt der Information Security Researcher. Er habe zwei Tage später Antwort erhalten, dass er seine Findings dem Product Security Incident Response Team (PSIRT) mitteilen soll. Hat er umgehend getan.
Daraufhin hat das PSIRT bei WD die Lücken unabhängig von den Findings des Hackers überprüft und bestätigt. Samuel Brown von WD habe sich einen Tag, also am 13. Oktober, bei James gemeldet. Samuel habe bestätigt, dass die Lücken real sind. Drei Tage später meldet sich der Hersteller wieder bei James.
Western Digital und James Bercegay einigen sich auf das Modell der Responsible Disclosure. Das bedeutet, dass InfoSec und Hersteller sich auf eine Frist einigen. Während dieser Frist bleibt der Hacker stumm und der Hersteller versucht, die Schwachstellen softwareseitig zu beheben.
Ab dem 16. Oktober hat Western Digital also 90 Tage Zeit, bis James seine Findings öffentlich macht. Doch am 15. Dezember kommt Hacker Zenofex von Exploitee.rs mit den selben Findings an die Öffentlichkeit. Er weiss nichts von der Frist, meldet sich laut allen Berichten auch nicht bei Western Digital. Er wählt den Weg der Full Disclosure. Er publiziert alle Daten der Schwachstellen und des Exploits online. Über die Gründe lässt sich nur spekulieren. Full Disclosure wird dann angewendet, wenn Information Security Researcher Druck auf einen Hersteller machen wollen. Denn wenn der Hersteller eine Schwachstelle nicht fixen will, dann kann er die Lücken so lange geheim halten, wie keiner öffentlich etwas erzählt.
Nach 79 Tagen aber, also noch vor Ablauf der Frist, macht James Bercegay seine Findings öffentlich, wohl weil Western Digital ein Software Update publiziert hat, das die Schwachstellen behebt. Ob James eine Bug Bounty, also Geld für das Entdecken der Schwachstelle, erhalten hat, ist unbekannt.
Die Schwachstellen im Detail
James Findings haben es aber in sich. Denn sie zeichnen kein besonders gutes Bild der Software Version 2.30.165 oder älter. Er hat folgende Bugs festgestellt
- Pre Auth Remote Root Code Execution: Ein Hacker kann Code mit Administratorenrechten auf dem Gerät ausführen, noch bevor er sich mit Usernamen und Passwort hat einloggen müssen
- Hardcoded Admin Credentials: Im Code der WD Software ist ein Administratorenpasswort fix hinterlegt, das der Nutzer nicht ändern kann. Das Passwort liegt im Klartext vor.
BeimPre Auth Remote Code Execution handelt es sich nicht nur um eine Schwachstelle, sondern um die Verkettung von mehreren Lücken, Code-Elementen und der Manipulation von Anfragen. Die Kombination aus all diesen Aktionen führt dazu, dass ein Benutzer Befehle auf den WD MyClouds ausführen kann, ohne sich auf dem Gerät anmelden zu können.
Der Begriff Pre Auth Remote Code Execution ist ebenfalls eine Verkettung von Deskriptoren.
- Pre Auth: Pre Authentication, also vor der Authentifizierung
- Remote: Von externer Stelle aus
- Code Execution: Beliebiger Code kann ausgeführt werden
Das heisst also, dass ein Angreifer von einem beliebigen Ort aus, ohne Username und Passwort zu kennen, beliebige Programmbefehle ausführen kann. Alles in allem ist das etwas, was du sicher nicht willst.
Die Hardcoded Admin Credentials sind höchstwahrscheinlich etwas, das aus dem Development der Software übrig geblieben ist. Programmierer coden manchmal Zugangsdaten fix in ein Programm ein, damit ihre Arbeit beim Development leichter fällt. So können sie schneller und effizienter arbeiten, selbst wenn das total unsicher ist. In der Development-Phase muss die Sicherheit ja noch nicht gewährleistet sein, da das Produkt noch nicht auf den Markt kommt. Die Idee ist, dass diese Zugänge nach Abschluss der Arbeiten aus dem Code entfernt werden.
Der Teil mit dem Entfernen ist im Falle der MyCloud-Produkte Western Digitals untergegangen. Daher kannst du dich locker mit folgenden Daten in so ziemlich jedes Gerät einloggen.
- Username: mydlinkBRionyg
- Passwort: abc12345cba
Diese Daten kannst du nicht ändern, geschweige denn darauf zugreifen.
Was kann ich tun? Bin ich nun verdammt?!
Du hast zu Hause eine WD MyCloud. Tja, dann hast du ein Problem. Kein übermässig grosses, aber ein Problem. Die Lösung des Problems ist einfach: Update der Software. Denn dank der Responsible Disclosure hat Western Digital das Problem beheben können, bevor es öffentlich gemacht und eventuell breit ausgenutzt wurde.
Alles, was du tun musst, ist die Software deiner MyCloud auf eine Version zu aktualisieren, die höher liegt als 2.30.165. Eine Stichprobe für die Geräte der EX-4-Serie zeigt, dass die aktuelle Software bei Redaktionsschluss Version 2.30.174 ist.
Wenn du die Schnauze voll von WD hast und ein anderes NAS willst, dann empfiehlt dir unser Produktmanagement folgende Modelle:
Allgemein etwas zur Bedrohungslage. Klar, immer gibt es mal wieder irgendwelche Schwachstellen in Geräten, die bei dir zu Hause stehen. Das wird sich so schnell nicht ändern. Aber trotzdem droht dir nicht unmittelbare Gefahr. Der Grund liegt darin, dass du höchstwahrscheinlich keine Person von grossem globalen Interesse bist. Du hast vielleicht ein paar Ferienfotos und etwas Musik.
Aber du bist keine Scarlett Johansson und kein Charlie Hunnam, die eventuell Nacktbilder von sich auf der MyCloud haben. Du bist auch kein Grosskonzern, der wichtige Geschäftsgeheimnisse auf der WD MyCloud hat. Und überhaupt: Wenn du eine Firma besitzt und alle deine Daten auf einer WD MyCloud abspeicherst, dann machst du grundsätzlich etwas falsch.
Das heisst aber nicht, dass dir deine Sicherheit egal sein darf. Denn die Remote Code Execution auf deinem NAS kann unter Umständen als Angriffsplattform für einen weiteren Hack genutzt werden. Oder jemand kann dir Daten unterjubeln, einfach nur, damit sie sicher auf einem Schweizer Server liegen.
So. Fertig. Bleib aktualisiert und stay safe!
Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.
38 Kommentare
later