Western Digital stand jüngst im Fokus, weil es eine Reihe an schwerwiegenden Sicherheitsproblemen mit Geräten der My Cloud-Serie gegeben hat. Unter anderem war es dem einfachen Anwender möglich, sich als Admin einzuloggen. Es war lediglich nötig, bestimmte, nicht besonders komplizierte, Parameter zu übergeben.
Exloitee.rs weist die Hersteller normalerweise freundlich darauf hin, dass solche Probleme bestehen und gibt einen Zeitraum zur Verbesserung an. Sofern die Fehler nicht im gegebenen Zeitfenster behoben werden, publiziert exoloitee.rs die Fehler. Im Falle von Western Digital sind die Probleme jedoch sofort veröffentlicht worden, weil sich der Hersteller angeblich in der Vergangenheit nicht als kooperativ erwiesen habe. Nun hat sich WD öffentlich zu den Fehlern geäußert:
Western Digital is aware of recent reporting of vulnerabilities in its My Cloud family of products, including related to vulnerabilities previously reported by Steven Campbell (https://www.stevencampbell.info/2016/12/command-injection-in-western-digital-mycloud-nas/) that were addressed with the firmware update made available on December 20, 2016 (https://support.wdc.com/downloads.aspx?lang=en#firmware). We are reviewing the recent exploitee.rs report and based on a preliminary evaluation, a change to address one exploitee.rs reported issue has already been made in the December update. Additionally, if we determine the report has identified any new issues, we will address those soon based on the severity of the issues, the existence, if any, of ongoing attacks, and the potential customer disruption of an unscheduled update. We recommend My Cloud users contact our Customer Service team at https://support.wdc.com/support/case.aspx if they have further questions; find firmware updates at https://support.wdc.com/downloads.aspx?lang=en#firmware; and ensure their My Cloud devices are set to enable automatic firmware updates.
Western Digital appreciates and encourages disclosure of potential vulnerabilities uncovered by security researchers such as Steven Campbell under the responsible disclosure model practiced by the security community. This balanced model acknowledges the contributions of security researchers, allows Western Digital to properly investigate and resolve concerns, and most importantly protects our customers from disclosure of exploits before a patch is available. As evidenced by our work with various researchers such as Steven Campbell, Vesprite (https://versprite.com/og/command-injection-in-the-wd-my-cloud-nas.html/) and others, we work closely with the security community to address issues and safely meet our customers’ needs. If exploitee.rs had followed this model as other security researchers have and contacted us with that spirit in mind prior to publishing their report, they would have known of our current work and progress toward a resolution in this case.
Kurz gesagt, entschuldigt sich Western Digital für die Probleme der Vergangenheit. Bereits im Dezember-Update seien Sicherheitslücken bereits geschlossen worden. Trotzdem werde das Unternehmen weiter daran arbeiten, die Sicherheit des Systems zu verbessern. Sofern weitere Fragen bestehen sollten, wir den Anwendern geraten, den Kundenservice zu kontaktieren. Western Digital übt jedoch auch Kritik aus und begrüßt die sofortige Publikation der Probleme nicht. So habe exploitee.rs die Kunden der betroffenen Produkte zu leicht angreifbaren Zielen gemacht.
Mit * oder markierte Links sind „Affiliate-Links“. Mit dem Kauf über diesen Link erhalten wir eine Verkaufsprovision, ohne dass du mehr bezahlst.
Quellen:Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher, weiblicher und diverser Sprachformen (m/w/d) verzichtet. Alle Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.
Kommentieren, Austauschen und Fragen...
Schreibe einen eigenen Kommentar