Comme on vous l'expliquait la semaine dernière, des clients de Western Digital ont vu leur NAS My Book Live formaté sans aucune action de leur part. Pour beaucoup d'entre eux, ce sont des dizaines de To de données qui ont été supprimés en quelques minutes. Le fabricant a depuis confirmé que ces NAS avaient été en fait hackés à distance, comme le rapporte Ars Technica qui a participé aux recherches.
Les malfaiteurs ont utilisé deux failles. La première est la CVE-2018-18472, découverte en 2018 et permettant à quiconque connaissant l'adresse IP d'un My Book Live d'avoir un accès administrateur au NAS. Cette faille a été découverte trois ans après la fin de la prise en charge officielle du produit par Western Digital. L'entreprise n'a donc jamais pris le temps de la corriger et certains NAS ont pu être infectés par un botnet appelé Linux.Ngioweb.
L'autre faille est basée sur le script PHP system_factory_restore qui permet de réinitialiser le disque dur. Celui-ci est habituellement protégé par un mot de passe, mais les lignes de commandes liées à cette protection ont été désactivées en 2011. Elles ont été mises en commentaires (derrière des doubles slash) par un développeur de Western Digital à l'occasion d'une refonte du code. Sans cette protection, un hackeur lançant la bonne requête web peut alors réinitialiser le disque dur sans aucune vérification.
La question est : pourquoi utiliser deux failles différentes quand les deux permettent d'avoir un accès aux commandes de réinitialisation ? Ars Technica évoque la piste d'un conflit entre deux hackers s'étant entre-sabotés, l'un voulant supprimer le réseau de botnet de l'autre.
Western Digital a annoncé qu'il allait fournir une solution de récupération de données dès le début du mois de juillet. En attendant, l'entreprise recommande toujours de garder son NAS My Book Live déconnecté. Les clients concernés sont aussi éligibles à un programme d'échange pour obtenir gratuitement un nouveau produit de la marque My Cloud Live. Le directeur des technologies de la firme de sécurité Censys a analysé ces nouveaux produits et explique qu'ils sont basés sur du code entièrement réécrit : en théorie, il ne devrait donc pas y avoir de problème. Pas sûr que cela suffise à convaincre les possesseurs d'un My Book Live de rester chez Western Digital…
Source : ArsTechica
