Failles des My Book Live (Duo) : les explications hallucinantes de Western Digital
Le 01 juillet 2021 à 07h44
3 min
Sciences et espace
Sciences
Il y a quelques jours, le fabricant demandait à ses clients de déconnecter en urgence leur NAS d’Internet à cause d’une faille pouvant entraîner l’effacement de l’ensemble des données. Dans un nouveau billet de blog, il donne des détails supplémentaires… qui font froid dans le dos.
Les firmwares des My Book Live « sont vulnérables à une injection de commande à distance » qui « peut être exploitée pour exécuter des commandes arbitraires avec les privilèges root ». Elle avait pour rappel été signalée en 2018, sans être corrigée depuis. Une seconde brèche – identifiée CVE-2021-35941 – permet la réinitialisation des paramètres d'usine sans aucune authentification. Elle a été introduite par le fabricant en personne en avril… 2011, soit il y a plus de 10 ans.
Lors d’une refonte du code, les procédures d’authentification ont été regroupées dans un unique fichier includes/component_config.php. Lors de la manœuvre, la procédure d’authentification dans system_factory_restore.php s’est par contre perdue en cours de route, permettant ainsi à n’importe qui de lancer une restauration des paramètres d’usine, avec la conséquence que l’on connaît.
Comme l’explique Ars Technica qui a étudié le code en question, la procédure d’authentification dans le fichier de restauration des paramètres d’usine a été mise en commentaire. Cette fonctionnalité est donc ouverte aux quatre vents à cause de quelques « // » au début de cinq lignes. Western Digital explique que des pirates ont parfois utilisé les deux failles l’une à la suite de l’autre : « La première vulnérabilité a été exploitée pour installer un logiciel malveillant sur le NAS, la seconde ensuite pour réinitialiser l'appareil » et ainsi effacer les traces.
Le fabricant propose gratuitement à ses clients touchés un programme de récupération des données. De plus, tous les utilisateurs de My Book Live (duo) peuvent profiter d’un « programme d'échange » vers la gamme My Cloud (qui n’est pas touchée par ces failles), mais les conditions ne sont pas précisées. De nouveaux billets de blog viendront donner des détails.
Le 01 juillet 2021 à 07h44
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/07/2021 à 08h23
Un bel exemple d’une “fonctionnalité” (faille) introduite (probablement) intentionnellement par le fabricant et qui finit par être exploitée.
Le 01/07/2021 à 11h08
Non, là, c’est clairement de la négligence pure et dure.
Le 01/07/2021 à 08h43
J’ai vu ça tellement de fois et dans tellement de boites que ça me démoralise honnêtement. Enfin, ça et l’authentification “côté client”. J’aurai pas imaginé un acteur comme WD tomber dans ce piège mais bon, avec du recul je commence à me rendre compte que l’herbe est la même partout, chez les gros comme chez les petits.
Le 01/07/2021 à 08h50
WD est un gros dans le secteur de la conception et fabrication des HDD, mais n’est rien dans la conception de NAS. Ils y sont à mon avis pour chopper quelques parts de marchés.
Personnellement, aucun NAS, quelque soit la marque, ne devrait être en public sur Internet en direct.
Il y a des petits routeurs/firewall à 50€ qui permettent de configurer une gateway vpn à la maison, donc aucun excuse.
Le 01/07/2021 à 08h54
OMG les peer review et les tests d’intégrations, ça n’existe pas chez eux !?
Le 01/07/2021 à 09h24
C’est comme dans toutes les boites : Les tests ça se fait à la fin, et si le délai commence à être tendu ces tests ou contrôles sautent parce qu’il est plus urgent de commencer la nouveauté que de finir totalement le projet en cours…
Le 01/07/2021 à 09h40
Ah, c’est toujours au moment où on perd des données qu’on s’aperçoit de l’utilité des sauvegardes.
Et des tests de restauration pour valider le process de sauvegarde…
Le 01/07/2021 à 09h56
Le code d’authentification présent, mais explicitement désactivé, ça ressemble à un acte de malveillance. (ou alors ils ont passé en prod la version du stagiaire sans review)
Le 01/07/2021 à 10h54
Pourquoi tout de suite chercher de la malveillance ? L’incompétence crasse suffit amplement.
“Allez c’est plié j’ai fini ce qu’on m’a demandé… Eh merde j’arrive plus à m’authentifier avec mon code… Bon je vais le commenter, plus le temps de corriger / toute façon ça sert à rien / c’est pas important et ça se verra pas”…
Le 03/07/2021 à 18h45
C’est toujours marrant de voir que le réflexe est d’imaginer des méchants dans un manoir sinistre avec des éclairs, une table avec des verres de sang et une pile de dossiers marqués “Evil plan”.
Il faut dire que la réalité est bien moins romanesque… Incompétence, désorganisation, coûts tirés vers le bas au détriment de la qualité, etc, soit le problème de 99,9% des DSI.
Le 01/07/2021 à 11h48
Si. Mais ils sont écrits par des gens qui ne se préoccupent pas des scénarios catastrophe. Si j’en juge par ce que je vois chez nous, c’est “vérifier qu’un utilisateur root peut faire X”. Et jamais “vérifier qu’un utilsateur non root ne peut pas faire X”.
Normal, la user story c’est “en tant qu’utilisateur root, je veux pouvoir faire X afin de purger les zizogènes à cardan”.
Le 01/07/2021 à 12h18
Le 01/07/2021 à 12h42
C’est le stagiaire.
(remarque vu comment se monde se sert des stagiaire… ça pourrait bel et bien être le cas)
Le 01/07/2021 à 14h20
Maintenant on dit plutôt “Nous avons été victime d’une cyberattaque”, éventuellement complété par “russe” ou “chinoise”
Le 01/07/2021 à 16h48
Une cyber-attaque des russes ?
Moi on m’avait dit que c’était à cause de l’incendie du datacenter d’ovh.