Sicherheitslücke bei NAS von Western Digital: Kein Fix geplant
Dieser Artikel ist älter als ein Jahr!
Der Festplattenhersteller Western Digital kommt partout nicht aus den Schlagzeilen. Nachdem zwei Lücken dafür sorgt haben, dass manche User all ihre Daten verloren haben, ist nun ein neues Sicherheitsproblem bekannt geworden. Der Sicherheitsexperte Brian Krebs berichtet von einer Schwachstelle, die die Software My Cloud OS3 des Unternehmens betrifft. Dabei handelt es sich um ein Betriebssystem für vernetzte Speicherlösungen (Network Attached Storage – NAS) des Unternehmens.
Besonders heikel an der Lücke ist, dass Western Digital nicht vor hat, sie zu fixen. Auf Anfrage von Engadget verweist das Unternehmen lediglich darauf, dass der Fehler in der neueren Version My Cloud OS5 behoben ist. Das Problem daran ist, dass nicht alle Geräte das Upgrade auf OS5 unterstützen – viele Besitzer*innen älterer Geräte haben also sozusagen Pech gehabt.
Entdeckt wurde die Lücke bereits vor einigen Monaten von den Sicherheitsforschern Radek Domanski und Pedro Ribeiro. Sie erlaubt es, schadhaften Code einzuschleusen. Grundlage ist ein Nutzeraccount mit geringen Berechtigungen, bei dem man das Passwortfeld leer lassen kann.
Western Digital hat zuerst nicht reagiert
Die beiden sagen, sie hätten nie etwas von dem Unternehmen gehört, als sie versuchten, wegen der Sicherheitslücke Kontakt aufzunehmen. Gegenüber Krebs sagte Western Digital, in dem Schreiben der Forscher hieß es lediglich, das Unternehmen solle sich bei Fragen melden. „Wir hatten keine Fragen und haben nicht geantwortet“, so ein Sprecher. Mittlerweile habe man aber die Richtlinien geändert, so, dass auf jeden Bericht eines Forschers reagiert werde. Am Vorhaben, die Lücke in der alten Firmware nicht zu fixen, ändert sich jedoch nichts.
Aus diesem Grund haben die Forscher einen eigenen Patch für MyCloud OS3 entwickelt und veröffentlicht. Der Patch hat allerdings einen Nachteil: Er muss bei jedem Neustart des Geräts erneut ausgeführt werden. Western Digital sagt dazu lediglich, dass die Lösung nicht evaluiert wurde und kein Support dafür angeboten werden kann.
Kommentare