Western Digital patcht Schwachstellen in der Firmware My Cloud OS 3 der NAS-Systeme My Cloud EX2, My Cloud EX4 und My Cloud Mirror, durch die Angreifer vollen Zugriff auf die Geräte erlangen könnten.

Der Hersteller beschreibt lediglich eine der kritischen Sicherheitslücken (Server-Side Request-Forgery) konkret, wodurch Angreifer mit manipulierten Anfragen Verbindungen ins lokale Netz aufbauen, es dadurch ausforschen und möglicherweise weiter darin vordringen könnten (CVE-2021-40438, CVSS 9.0, Risiko kritisch).

In der Sicherheitsmeldung erläutert Western Digital, dass die Sicherheitslücken auf den verwendeten Apache-Server zurückgehen. Die drei weiteren CVE-Einträge CVE-2021-39275 (CVSS 9.8, kritisch), CVE-2021-34798 (CVSS 7.5, hoch) und CVE-2021-36160 (CVSS 7.5, hoch) beschreiben weitere Lücken. Darüber könnten Angreifer etwa einen Pufferüberlauf auslösen und so möglicherweise eingeschleusten Code ausführen. Durch die beiden letztgenannten Schwachstellen könnten Angreifer den Server unter Umständen abstürzen lassen.

Vermutlich letzte Aktualisierung

Nutzer, deren Geräte My Cloud OS 3 nutzen, müssen aktiv werden. Für WD-Speicher, die My Cloud OS 5 unterstützen, muss ein Umstieg auf den neueren Firmware-Zweig erfolgen. Eine Anleitung dazu verlinkt der Hersteller in seiner Sicherheitsmeldung. Für Geräte mit der 3er-Version gibt es seit vergangener Woche keinen Fernzugriff mehr. Lokal bleiben die Daten jedoch verfügbar.

Für veraltete Legacy-Geräte, die nicht mit My Cloud OS 5 kompatibel sind, endet die Unterstützung am 15. April 2022. Ab dem Datum gibt es keine Sicherheitsupdates mehr. Für eine weitere Nutzung rät der Hersteller, ein Backup anzulegen, den Netzwerkspeicher vom Internet zu trennen und ein starkes Passwort zu vergeben.

Die aktualisierte Firmware My Cloud OS 3 2.12.144 kann man über die Support-Webseite von Western Digital herunterladen.

(dmk)