Il y a quelques jours, le fabricant demandait à ses clients de déconnecter en urgence leur NAS d’Internet à cause d’une faille pouvant entraîner l’effacement de l’ensemble des données. Dans un nouveau billet de blog, il donne des détails supplémentaires… qui font froid dans le dos.
Les firmwares des My Book Live « sont vulnérables à une injection de commande à distance » qui « peut être exploitée pour exécuter des commandes arbitraires avec les privilèges root ». Elle avait pour rappel été signalée en 2018, sans être corrigée depuis. Une seconde brèche – identifiée CVE-2021-35941 – permet la réinitialisation des paramètres d'usine sans aucune authentification. Elle a été introduite par le fabricant en personne en avril… 2011, soit il y a plus de 10 ans.
Lors d’une refonte du code, les procédures d’authentification ont été regroupées dans un unique fichier includes/component_config.php. Lors de la manœuvre, la procédure d’authentification dans system_factory_restore.php s’est par contre perdue en cours de route, permettant ainsi à n’importe qui de lancer une restauration des paramètres d’usine, avec la conséquence que l’on connaît.
Comme l’explique Ars Technica qui a étudié le code en question, la procédure d’authentification dans le fichier de restauration des paramètres d’usine a été mise en commentaire. Cette fonctionnalité est donc ouverte aux quatre vents à cause de quelques « // » au début de cinq lignes. Western Digital explique que des pirates ont parfois utilisé les deux failles l’une à la suite de l’autre : « La première vulnérabilité a été exploitée pour installer un logiciel malveillant sur le NAS, la seconde ensuite pour réinitialiser l'appareil » et ainsi effacer les traces.
Le fabricant propose gratuitement à ses clients touchés un programme de récupération des données. De plus, tous les utilisateurs de My Book Live (duo) peuvent profiter d’un « programme d'échange » vers la gamme My Cloud (qui n’est pas touchée par ces failles), mais les conditions ne sont pas précisées. De nouveaux billets de blog viendront donner des détails.
Commentaires (15)
#1
Un bel exemple d’une “fonctionnalité” (faille) introduite (probablement) intentionnellement par le fabricant et qui finit par être exploitée.
#1.1
Non, là, c’est clairement de la négligence pure et dure.
#2
J’ai vu ça tellement de fois et dans tellement de boites que ça me démoralise honnêtement. Enfin, ça et l’authentification “côté client”. J’aurai pas imaginé un acteur comme WD tomber dans ce piège mais bon, avec du recul je commence à me rendre compte que l’herbe est la même partout, chez les gros comme chez les petits.
#3
WD est un gros dans le secteur de la conception et fabrication des HDD, mais n’est rien dans la conception de NAS. Ils y sont à mon avis pour chopper quelques parts de marchés.
Personnellement, aucun NAS, quelque soit la marque, ne devrait être en public sur Internet en direct.
Il y a des petits routeurs/firewall à 50€ qui permettent de configurer une gateway vpn à la maison, donc aucun excuse.
#4
OMG les peer review et les tests d’intégrations, ça n’existe pas chez eux !?
#5
C’est comme dans toutes les boites : Les tests ça se fait à la fin, et si le délai commence à être tendu ces tests ou contrôles sautent parce qu’il est plus urgent de commencer la nouveauté que de finir totalement le projet en cours…
#6
Ah, c’est toujours au moment où on perd des données qu’on s’aperçoit de l’utilité des sauvegardes.
Et des tests de restauration pour valider le process de sauvegarde…
#7
Le code d’authentification présent, mais explicitement désactivé, ça ressemble à un acte de malveillance. (ou alors ils ont passé en prod la version du stagiaire sans review)
#7.1
Pourquoi tout de suite chercher de la malveillance ? L’incompétence crasse suffit amplement.
“Allez c’est plié j’ai fini ce qu’on m’a demandé… Eh merde j’arrive plus à m’authentifier avec mon code… Bon je vais le commenter, plus le temps de corriger / toute façon ça sert à rien / c’est pas important et ça se verra pas”…
#7.2
C’est toujours marrant de voir que le réflexe est d’imaginer des méchants dans un manoir sinistre avec des éclairs, une table avec des verres de sang et une pile de dossiers marqués “Evil plan”.
Il faut dire que la réalité est bien moins romanesque… Incompétence, désorganisation, coûts tirés vers le bas au détriment de la qualité, etc, soit le problème de 99,9% des DSI.
#8
Si. Mais ils sont écrits par des gens qui ne se préoccupent pas des scénarios catastrophe. Si j’en juge par ce que je vois chez nous, c’est “vérifier qu’un utilisateur root peut faire X”. Et jamais “vérifier qu’un utilsateur non root ne peut pas faire X”.
Normal, la user story c’est “en tant qu’utilisateur root, je veux pouvoir faire X afin de purger les zizogènes à cardan”.
#9
#10
C’est le stagiaire.
(remarque vu comment se monde se sert des stagiaire… ça pourrait bel et bien être le cas)
#11
Maintenant on dit plutôt “Nous avons été victime d’une cyberattaque”, éventuellement complété par “russe” ou “chinoise”
#12
Une cyber-attaque des russes ?
Moi on m’avait dit que c’était à cause de l’incendie du datacenter d’ovh.