Western Digital wusste über die Verwundbarkeit der Systeme wohl schon seit Juli 2017 Bescheid. Ein Firmware-Update, das Fehler beheben soll, erschien jedoch erst Ende letzten Jahres.
Schwachstellen im PHP-Code
Wie Heise berichtete, informierte der IT-Experte James Bercegay WD bereits im vergangenen Sommer über die genannten Schwachstellen in den My-Cloud-Geräten. In einem am 4. Januar 2018 veröffentlichten Bericht wies Bercegay darauf hin, dass über den verwendeten PHP-Code der Geräte Hacker sehr leicht Root-Rechte erlangen könnten und damit über die gesamten gesammelten Daten der Cloud-Geräte verfügen würden.
Hardcoded Backdoor in My-Cloud-Systemen
Neben den Schwachstellen im PHP-Code hat Western Digital in seine Geräte wohl eine „hardcoded Backdoor“, sprich: eine im Code verankerte Hintertür eingebaut. Die My-Cloud-Systeme verfügen über eine Datei, in der sich der Code zur Authentifizierung des Nutzers während des Log-ins in die My Cloud befindet. Die Datei benennt Admin und Passwort, das ist im Code verankert und lässt sich auch nicht ändern. Hacker können diese Schwachstelle relativ einfach ausnutzen, der Nutzer ist hier hilflos ausgeliefert.
In der Analyse werden von Bercegay noch weitere Schwachstellen im System erläutert. Folgende Modellreihen der Western Digital My Cloud sind betroffen:
- My Cloud Gen 2
- My Cloud EX2
- My Cloud EX2 Ultra
- My Cloud PR2100
- My Cloud PR4100
- My Cloud EX4
- My Cloud EX2100
- My Cloud EX4100
- My Cloud DL2100
- My Cloud DL4100
Nutzer mit betroffenen Geräten sollen möglichst zügig ein Firmware-Update auf Version 2.30.174 vornehmen, verfügbar auf der offiziellen WD-Website.